СУДЕБНЫЙ УЧАСТОК №8 ЛЕНИНСКОГО СУДЕБНОГО РАЙОНА Г. КОСТРОМЫ
ул. Советская, д.120, каб.23, г. Кострома 156000
е-mail:__________
Дело № 5-44/2022
Протокол <НОМЕР>
УИД 44MS0008-01-2021-003815-88
П О С Т А Н О В Л Е Н И Е
25 февраля 2022 года г. Кострома
Мировой судья судебного участка № 8 Ленинского судебного района г. Костромы Удалова О.В., с участием представителей ПАО «Название» по доверенности ФИО1., ФИО2., представителя Управления Роскомнадзора по Костромской области ФИО.,
рассмотрев в открытом судебном заседании материал об административном правонарушении, предусмотренном частью 1 статьи 13.11 КоАП РФ в отношении ПАО «Название», ИНН ____, ОГРН _____, юридический адрес: г. Кострома, __________, сведения о привлечении к административной ответственности за однородные правонарушения отсутствуют,
УСТАНОВИЛ:
В ходе осуществления мониторинга электронных средств массовой информации Управлением Роскомнадзора по Костромской области выявлен факт наличия публикации относительно возможной утечки персональных данных граждан, подавших заявки на кредитные продукты в ПАО «Название», включая ФИО, номера телефонов, паспортные данные, адрес проживания, семейное положение, ФИО и контакты родственников и другое, в нарушение требований пункта 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В судебном заседании представитель ПАО «Название» по доверенности ФИО пояснила, что поскольку уполномоченный орган не конкретизирует за обработку персональных данных какого лица, привлекает Банк к административной ответственности, не имеется возможности предоставить согласие на обработку персональных данных конкретного клиента. Указала, что лицо, похитившее у Банка персональные данные <ФИО1>, было привлечено к уголовной ответственности по части 3 статьи 183 УК РФ - собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, обмана, шантажа, принуждения, подкупа или угроз, а равно иным незаконным способом, группой лиц по предварительному сговору или организованной группой, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности. Таким образом, в действиях Банка не содержится признаков административного правонарушения, предусмотренных частью 1 статьи 13.11 КоАП РФ. Кроме того, считает, что срок давности привлечения к ответственности по статье 13.11 Кодекса Российской Федерации об административных правонарушениях, составляющий 1 год с момента совершения правонарушения истек, поскольку дата хищения у Банка персональных данных зафиксирована в мае 2020 года, соответственно срок привлечения к административной ответственности ПАО «Название» за правонарушение, предусмотренное частью 1 статьи 13.11 КоАП РФ, истек в мае 2021 года.
Представитель ФИО в судебном заседании пояснила, что Банку вменяется осуществление действий по обработке персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных. Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели. Однако, каких-либо доказательств осуществления Банком действий по нецелевой обработке персональных данных не представлено. Считала, что уполномоченный орган подменяет понятия обработка персональных данных, в случаях, не предусмотренных законом, несовместимой с заявленными целями и хищение у Банка данных с целью их распространения третьим лицом. Персональные данные были переданы Банку для получения кредитных средств заявителями, которые подавали онлайн заявки на кредитные продукты Банка. Банк осуществляет обработку персональных данных только с целью заключения кредитных продуктов Банка. Кроме того, субъектом административного правонарушения по смыслу части 1 статьи 13.11 КоАП РФ, как квалифицирует деяние по распространению персональных данных Роскомнадзор, является лицо, незаконно распространившее персональные данные в сети интернет. Таким лицом, ПАО «Название» не является, так как не распространял в сети интернет никакие персональные данные. Указала, что административный орган не привел никаких доказательств факта распространения персональных данных, кроме неподтвержденной публикации в СМИ об утечке персональных данных. Обратила внимание суда, что данные в сети интернет были размещены не Банком и не от имени Банка. Согласно приговору <ОБЕЗЛИЧЕНО> от 01.12.2020 <ФИО1> не являясь сотрудником Банка с 27.11.2019 по 01.05.2020, в нарушение обязательства о неразглашении информации, незаконно получил и разместил в сети интернет персональные данные клиентов Банка, без разрешения на то от ПАО «Название». Таким образом, Уполномоченный орган не привел доказательств распространения Банком персональных данных в сети интернет, вместе с тем Роскомнадзор не указал, какие именно персональные данные Банк незаконно обрабатывал, персональные данные какого субъекта были обработаны. Считала, что в действиях Банка отсутствует состав административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ, поскольку обнаружение ПАО «Название» совместно с Банком России инцидента с хищением персональных данных имело место в период с 27.11.2019 по 01.05.2020, то срок давности привлечения к административной ответственности истек 01.05.2021.
В судебном заседании представитель Роскомнадзора по Костромской области ФИО пояснила, что в соответствии с Реестром операторов, осуществляющих обработку персональных данных, размещенном на официальном сайте Роскомнадзора (<ОБЕЗЛИЧЕНО>) ПАО «Название» является оператором, осуществляющим обработку персональных данных (реестровый номер <НОМЕР>). По представленной информации ПАО «Название» (исх. <НОМЕР> от 01.10.2021), 20 сентября 2021 года Общество выявило в свободном доступе базу данных анкет с данными граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Общества, что с учетом положений пункта 3 статьи 3 Закона о персональных данных является обработкой персональных данных. Таким образом, ПАО «Название» подтвержден факт неправомерной обработки персональных данных в форме предоставления доступа без правовых оснований к базе данных, содержащей персональные данные граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Общества, что является нарушением части 1 статьи 6 Закона о персональных данных. Таким образом, ПАО «Название» допущено административное правонарушение, ответственность за которое предусмотрена частью 1 статьи 13.11 КоАП РФ. Довод ПАО «Название» о том, что виновным в незаконном распространении персональных данных признан <ФИО1>, является несостоятельным, так как в соответствии с действующим законодательством Российской Федерации в сфере персональных данных ответственность за обработку персональных данных несет оператор - ПАО «Название». Причиной административного правонарушения явилось неисполнение оператором ПАО «Название», осуществляющим обработку персональных данных, обязанностей по исполнению обязательных требований законодательства в сфере персональных данных. Таким образом, ответственность за данное нарушение несет оператор ПАО «Название», осуществляющий обработку персональных данных. Кроме того, указала, что факт обнаружения в свободном доступе базы данных анкет с данными граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Банка, был зафиксирован 20 сентября 2021 года, что подтверждается представленной ПАО «Название» информацией (исх. <НОМЕР> от 01.10.2021 года), тем самым была установлена дата совершения административного правонарушения. Следовательно, срок давности привлечения ПАО «Название» к административной ответственности не истек.
Выслушав лиц, участвующих в деле, исследовав материалы дела, суд приходит к следующему.
Согласно статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Согласно пункту 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В силу пункта 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
В соответствии со статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласно части 1 статьи 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.
Как следует из материалов дела, в ходе осуществления мониторинга электронных средств массовой информации Управлением Роскомнадзора по Костромской области выявлен факт наличия публикации относительно возможной утечки персональных данных граждан, подавших заявки на кредитные продукты в ПАО «Название», включая ФИО, номера телефонов, паспортные данные, адрес проживания, семейное положение, ФИО и контакты родственников и другое.
Управлением Роскомнадзора по Костромской области в адрес ПАО «Название» был направлен запрос о предоставлении информации по существу доводов, изложенных в публикации.
По представленной информации ПАО «Название», 20 сентября 2021 года Общество обнаружило в свободном доступе базу данных анкет с данными граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Общества. Данные сведения предоставлены за подписью заместителя Председателя Правления <ФИО2>
Таким образом, факт совершения ПАО «Название» административного правонарушения, ответственность за которое предусмотрена частью 1 статьи 13.11 КоАП РФ, и виновность ПАО «Название» в его совершении подтверждаются материалами дела, а именно: протоколом об административном правонарушении от 24.11.2021, сведениями ПАО «Название» <НОМЕР> от 01.10.2021, выпиской из ЕГРЮЛ и иными материалами дела.
Не доверять протоколу об административном правонарушении, другим материалам дела, у суда оснований не имеется, поскольку они последовательны и согласуются с материалами дела.
Оценивая все представленные доказательства с точки зрения достоверности, относимости, допустимости, а в совокупности - достаточности, суд полагает, что вина ПАО «Название» в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ, доказана, каких - либо сомнений в его виновности у суда нет.
Смягчающих административную ответственность обстоятельств судом не установлено.
Обстоятельств, отягчающих административную ответственность судом не установлено.
Оснований для прекращения производства по делу об административном правонарушении и признании правонарушения малозначительным, не имеется.
В силу статьи 3.1 КоАП РФ, целью административного наказания является предупреждение совершения новых правонарушений, как самим правонарушителем, так и другими лицами. Следовательно, установление административного наказания и определение его размера в каждом конкретном случае должно основываться на принципах справедливости наказания, его соразмерности совершенному правонарушению.
В соответствии с частью 1 статьи 4.1.1 КоАП РФ некоммерческим организациям, а также являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.
В силу части 2 статьи 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.
Санкция части 1 статьи 13.11 КоАП РФ не предусматривает наказание в виде предупреждения, однако, условия, предусмотренные КоАП РФ для назначения предупреждения юридическому лицу вместо штрафа имеют место.
Суд полагает возможным применить положения части 1 статьи 4.1.1 КоАП РФ и заменить наказание в виде административного штрафа на предупреждение, поскольку ПАО «Название» административное правонарушение совершено впервые и выявлено в ходе осуществления государственного контроля (надзора), при этом оно не повлекло причинение вреда или возникновение угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также имущественного ущерба.
Руководствуясь статьями 29.9, 29.10 КоАП РФ, суд
ПОСТАНОВИЛ:
Признать юридическое лицо ПАО «Название» виновным в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ и подвергнуть административному наказанию с применением положений статьи 4.1.1 КоАП РФ в виде предупреждения
Постановление может быть обжаловано в Ленинский районный суд г. Костромы в течение 10 суток со дня вручения или получения копии настоящего постановления путем подачи жалобы через мирового судью судебного участка №8 Ленинского судебного района г. Костромы.
Мировой судья судебного участка №8
Ленинского судебного района г. Костромы /подпись/ О.В. Удалова
Копия верна: мировой судья О.В. Удалова
Источник: https://8.kst.msudrf.ru/modules.php?name=sud_delo&op=sd&number=52665976&case_number=50322277&delo_id=1500001
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
категорий:
Размещение на сайте персональных данных граждан
Размещение в СМИ статьи, содержащей персональные данные субъекта
Невыполнение обязанности по обеспечению сохранности персональных данных
Отсутствие согласие при заключении договора
На сайте администрации размещен ответ на обращение, содержащий персональные данные
Обработка персональных данных в информационной системе "Дневник.ру"
Распространение базы данных пользователей сайта интернет-магазина
Опубликование на сайте суда информации о субъекте
Распространение на сайте медицинской организации персональных данных работников без их согласия
Включение в договор согласия на обработку персональных данных
На Интернет-сайте размещены документы, содержащие персональные данные собственников жилья
Обработка персональных данных в информационной системе "Дневник.ру"