№ 05-892/2023

ПОСТАНОВЛЕНИЕ

Мировой судья судебного участка №346 Хорошевского района г. Москвы Мельникова М.Г.,

рассмотрев дело об административном правонарушении по ч.2 ст.13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица ООО «Научно-методический центр клинической лабораторной диагностики Название», находящегося по адресу: *, ИНН *, дата регистрации юридического лица: * года,

проверив представленные материалы дела,

УСТАНОВИЛ:

ООО «Научно-методический центр клинической лабораторной диагностики Название» обвиняется в обработке персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Правонарушение выразилось в следующем.

Роскомнадзором в ходе мониторинга электронных средств массовой информации на интернет-ресурсах: https://_________________,https://t.me/__________________,https://t.me/_____________,https://t.me/_______________,https://t.me/____________________, выявлен факт наличия базы данных (9100 записей) ООО «Научно-методический центр клинической лабораторной диагностики Название» (далее также Оператор), содержащей персональные данные клиентов Оператора в объеме: фамилия, имя, отчество, год, месяц, дата, место рождения, дата регистрации, адрес электронной почты, номер телефона, результаты анализов, свидетельство о рождении.

В Роскомнадзор во исполнение требований ч.3.1 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» поступили уведомления Оператора от 22 мая 2023 № 6056354 и от 24 мая 2023 № 6058992 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Согласно Уведомлениям о факте неправомерной или случайной передачи персональных данных Оператора предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является несанкционированный доступ к информационным ресурсам сайта my.____.ru.

По результатам внутреннего расследования инцидента Оператор выявил, что неизвестными лицами был осуществлен несанкционированный доступ к информационным ресурсам сайтов my.----.ru и ----.ru компании, путем подбора парольной информации к учетной записи администратора сайта. Данные сайты располагаются на ресурсах дата-центра провайдера DataLine, который входит в группу компаний «Ростелеком — Центры Обработки Данных». ЦОД соответствует требованиям по защите персональных данных 152-ФЗ. Сегмент управления частными облаками, аттестованный для ГИС К1, УЗ-1 и 1Г. Злоумышленники осуществили копирование информации в виде файлов, содержащиХ персональные данные клиентов.

В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В связи с чем содержание скомпрометированной базы данных относится к персональным данным клиентов Оператора.

По смыслу пункта 1 статьи 3 Закона о персональных данных ООО «Научно-методический центр клинической лабораторной диагностики Название» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

Согласно пункту 3 статьи 3 Закона о персональных данных обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

Более того, оператор обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям статьи 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статьей 10.1 Закона о персональных данных.

Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Кроме того, в скомпрометированной базе данных оператора содержатся сведения о результатах анализов, являющимися информацией о состоянии здоровья клиентов оператора.

Представитель ООО «Научно-методический центр клинической лабораторной диагностики Название» о месте и времени рассмотрения дела извещался надлежащим образом, однако в суд не явился, ходатайств об отложении слушания дела не заявлял, об уважительности причин неявки суду не сообщил, в связи с чем, мировой судья считает возможным рассмотреть дело в его отсутствие.

Представитель Управления Роскомнадзора по ЦФО о месте и времени рассмотрения дела извещался надлежащим образом, однако в суд не явился, ходатайств об отложении слушания дела не заявлял, об уважительности причин неявки суду не сообщил, в связи с чем, мировой судья считает возможным рассмотреть дело в его отсутствие.

Исследовав материалы дела, суд приходит к выводу о виновности ООО «Научно-методический центр клинической лабораторной диагностики Название» в совершении правонарушения, предусмотренного ч.2 ст.13.11 Кодекса РФ об административных правонарушениях, которая подтверждается исследованными в судебном заседании материалами дела, а именно:

- протоколом об административном правонарушении № АП-77/09/805 от 27 июня 2023 года;

- уведомлением о факте неправомерной или случайной передачи (представления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 22 мая 2023 года;

- уведомлением о факте неправомерной или случайной передачи (представления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 22 мая 2023 года;

- снимки экраны базы данных, расположенной в сети «Интернет», содержащей персональные данные клиентов операторов;

- уставом ООО «Научно-методический центр клинической лабораторной диагностики Название».

Изучив материалы дела, суд приходит к выводу о том, что протокол об административном правонарушении составлен в соответствии с требованиями ст. 28.2 Кодекса РФ об административных правонарушениях, должностным лицом органа, уполномоченного составлять протоколы об административных правонарушениях.

В соответствии с ч.2 ст.13.11 Кодекса РФ об административных правонарушениях административная ответственность наступает за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Суд приходит к выводу о том, что вина ООО «Научно-методический центр клинической лабораторной диагностики Название» в совершении административного правонарушения, предусмотренного ч.2 ст. 13.11 Кодекса РФ об административных правонарушениях, полностью доказана, подтверждается представленными доказательствами.

Суд не находит оснований для освобождения юридического лица от административной ответственности и прекращения производства по делу в силу изложенных выше обстоятельств.

В силу ч. 1 ст. 4.1.1 Кодекса РФ об административных правонарушениях являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела 2 Кодекса РФ об административных правонарушениях или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных ч.2 ст.3.4 Кодекса РФ об административных правонарушениях, за исключением случаев, предусмотренных ч. 2 настоящей статьи.

При рассмотрении вопроса о возможности замены административного штрафа на предупреждение необходимо учитывать, что преференция, установленная ст. 4.1.1 Кодекса РФ об административных правонарушениях, является исключительной.

В рассматриваемом случае оснований полагать, что наличествуют условия, позволяющие заменить административный штраф на предупреждение, не имеется, поскольку неисполнение юридическим лицом возложенных на него требований законодательства о защите персональных данных, регулирующего отношения между неограниченным кругом субъектов персональных данных, чьи персональные данные обрабатываются, свидетельствуют о пренебрежительном отношении лица к возложенным на него публично-правовым обязанностям, посягающим на общественные отношения, связанные с использованием персональных данных, эффективное и правильное обеспечение защиты которых возможно только при выполнении требований Закона о персональных данных, и как следствие, правильной организации работы оператора.

Таким образом, поскольку вменяемое юридическому лицу административное правонарушение представляет угрозу охраняемым общественным отношениям в сфере обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, то в представленной ситуации оснований для замены назначенного административного штрафа на предупреждение не имеется.

При назначении наказания суд учитывает характер совершенного правонарушения, отсутствие на дату совершения вменяемого правонарушения сведений о привлечении юридического лица ранее в течение года к административной ответственности за аналогичные правонарушения, принятие Обществом мер по прекращению распространения вышеуказанной информации, имущественное и финансовое положение юридического лица, признание вины, оказание содействия в установлении обстоятельств правонарушения должностному лицу при производстве по делу, все обстоятельства дела и считает возможным назначить наказание в виде административного штрафа в размере половины минимального размера административного штрафа, предусмотренного санкцией ч.2 ст.13.11 Кодекса РФ об административных правонарушениях.

На основании изложенного, руководствуясь ст. ст. 29.9-29.11 Кодекса РФ об административных правонарушениях, мировой судья,

ПОСТАНОВИЛ:

Признать ООО «Название» виновным в совершении административного правонарушения, предусмотренного ч.2 ст.13.11 Кодекса РФ об административных правонарушениях и назначить наказание в виде штрафа в размере 30 000 рублей.

В силу положений статьи 32.2. Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.

Получатель платежа: Получатель платежа Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000) ИНН 7704236196 КПП 770401001 Расчетный счет 03100643000000017300 Корреспондентский счёт 40102810545370000003 Банк получателя платежа ГУ Банка России по ЦФО//УФК по г. Москве г. Москва БИК 004525988 ОКТМО 45374000 КБК 80511601133010000140 УИН 0356140805008923462301664. Назначение платежа Штраф. Номер дела 05-0892/346/2023, постановление от 18.09.2023 по Ст. 13.11, Ч.2 КоАП РФ в отношении ООО «Научно-методический центр клинической лабораторной диагностики Название». Судебный участок № 346.

Квитанция об оплате штрафа должна быть представлена в судебный участок № 346 Хорошевского района города Москвы по адресу: Москва, ул. Гризодубовой, д. 1, к. 5.

Настоящее постановление может быть обжаловано в Савеловский районный суд г. Москвы через мирового судью в течение 10 суток со дня получения копии постановления.

Источник: https://mos-sud.ru/346/cases/admin/details/040b1eb6-0d21-4e90-b908-5caecfb34a57?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm