Решение по административному делу

Дело <НОМЕР>

Поступило <ДАТА1>                                                                                                                       ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

630096, г. <АДРЕС>, ул. <АДРЕС>, д. 4, кабинет 11

г. <АДРЕС>                                                                       <ДАТА2>

 Мировой судья 6-го судебного участка Ленинского судебного района <АДРЕС> <ФИО1>, 

рассмотрев в судебном заседании материалы дела об административном правонарушении по ч.1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица - ООО «Название» <ОБЕЗЛИЧЕНО> 

УСТАНОВИЛ:

 ООО «Название» допустило факт неправомерного доступа к базе данных, содержащей персональные данные пользователей сайта ООО «Название», а именно <ДАТА3> в 19:11 установлен факт неправомерного доступа третьих лиц к базе данных пользователей сайта ООО «Название» через систему управления сайтом «Битрикс». Доступ осуществлён к персональным данным посетителей сайта: Ф.И.О., пол, номер телефона, адрес электронной почты, адрес отправления такси, адрес назначения такси, а также автоматические загруженные данные, такие как IP-адреса, браузер, геолокация клиента.

 В судебном заседании защитник ООО «Название» <ФИО2> пояснила, что вину в совершении административного правонарушения ООО «Название» не признает в полном объеме, так как утечка персональных данных клиентов произошла в результате «хакерской» атаки на сайт организации, просила дело прекратить в связи с малозначительностью.

 Представители Управления Роскомнадзора по Сибирскому федеральному округу по доверенности поддержали доводы, изложенные в протоколе об административном правонарушении.

 Исследовав материалы дела, мировой судья считает, что вина ООО «Название» в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ установлена и подтверждается материалами дела:

-протоколом об административном правонарушении <НОМЕР> от <ДАТА4>, согласно которому ООО «Название» допустило факт неправомерного доступа к базе данных, содержащей персональные данные пользователей сайта ООО «Название», а именно <ДАТА3> в 19:11 установлен факт неправомерного доступа третьих лиц к базе данных пользователей сайта ООО «Название» через систему управления сайтом «Битрикс». Доступ осуществлён к персональным данным посетителей сайта: Ф.И.О., пол, номер телефона, адрес электронной почты, адрес отправления такси, адрес назначения такси, а также автоматические загруженные данные, такие как IP-адреса, браузер, геолокация клиента.

 Злоумышленник (несанкционированный внешний пользователь) нашел уязвимость в «Битрикс» и получил доступ к сайту как администратор. Он удалил файлы сайта и базу данных, после чего разместил полученные персональные данные посетителей сайта на сайте  ________________ .

-уведомлениями о факте неправомерной или случайной передаче персональных данных, повлекших нарушение прав субъектов персональных данных от <ДАТА3> и от <ДАТА6>;

- скриншотом адреса страницы сайта https://______________;

-выпиской из Единого государственного реестра юридических лиц в отношении ООО «Название».

При этом суд исходит из следующего.

 Как следует из материалов дела, Роскомнадзором в ходе мониторинга сети «Интернет» по адресам: ________________________             и  выявлены признаки распространения неограниченному кругу лиц персональных данных пользователей интернет-ресурса _____________ в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты.

 <ДАТА3> в Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона <НОМЕР> от ООО «Название» поступило Уведомление о факте неправомерной или случайной передачи (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных (номер <НОМЕР>) (далее уведомление от <ДАТА3>).

 В соответствии с уведомлением от <ДАТА3> ООО «Название», <ДАТА3> установлен факт неправомерного доступа третьих лиц к базе данных пользователей сайта ООО «Название» через систему управления сайтом «Битрикс». Доступ был осуществлён к персональным данным посетителей сайта; ФИО, пол, номер телефона, адрес электронной почты, адрес отправления такси, адрес назначения такси, а также автоматически загруженные данные, такие как IP-адреса, браузер, геолокация клиента. Злоумышленник (несанкционированный внешний пользователь) нашел уязвимость в «Битрикс» и получил доступ к сайту как администратор. Он удалил файлы сайта и базу данных. О произошедшей утечке персональных данных достоверно узнали из письма Роскомнадзора <НОМЕР> от <ДАТА5>.

 <ДАТА6> по результатам внутреннего расследования от ООО «Название» в Роскомнадзор поступило новое Уведомление Оператора о факте неправомерной или случайной передачи (предоставлении, распространении, доступе), повлекшей нарушение прав субъектов персональных данных (номер <НОМЕР>) (далее уведомление от <ДАТА6>). Из уведомления следует, что злоумышленник получил доступ через систему управления сайтом «Битрикс», разместил на хостинге скрипт, через который мог выполнять команды на сервере. Действия, предпринятые ООО «Название» для защиты от проникновения:1.Обновлена CMS Битрикс; 2.Выполнены рекомендованные Битриксом действия для защиты сайта после обновления; 3. Проведено обследование сайта на наличие сторонних скриптов; 4.Защита системы администрирования от входа со сторонних IР-адресов; 5.Изменены пароли администраторов в CMS, 6. Включен access.log для nginx.

 В соответствии с пунктом 1 статьи 3 Федерального закона <НОМЕР> под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 В связи с чем содержание скомпрометированной базы данных будет относиться к персональным данным пользователей сайта _______ ООО «Название».

  По смыслу пункта 1 статьи 3 Федерального закона <НОМЕР> ООО «Название» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Федерального закона <НОМЕР> в полном объеме.

 Согласно пункту 3 статьи 3 Федерального закона <НОМЕР> о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Исходя из положений части 1 статьи 6 Федерального закона <НОМЕР> обработка (в том числе доступ) персональных данных допускается с согласия субъекта персональных данных либо при наличии иных, предусмотренных законом оснований. Обработка персональных данных без получения согласия субъекта персональных данных допускается в случаях, установленных пунктами 2-11 части 1 статьи 6 Федерального закона <НОМЕР>.

 Согласно статье 7 Федерального закона <НОМЕР> операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 Особенности обработки персональных данных, разрешенных субъектом персональных для распространения в сети Интернет, установлены статьей 10.1 Федерального закона <НОМЕР> о персональных данных.

 Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от <ДАТА7> <НОМЕР> «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

 На основании изложенного в действиях ООО «Название» выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных.

 Исследовав и оценив все указанные доказательства по делу в их совокупности и по правилам ст. 26.11 КоАП РФ, мировой судья находит установленным и полностью доказанным наличие события административного правонарушения и вины ООО «Название» в совершении правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ.

 Судом не установлено каких-либо существенных процессуальных нарушений при составлении протокола об административном правонарушении, которые могли бы повлиять на объективное, правильное и всестороннее рассмотрение дела.

 Обстоятельств, исключающих производство по делу об административном правонарушении, не имеется.

 При назначении административного наказания, мировой судья учитывает характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица.

 Обстоятельств, смягчающих и отягчающих административную ответственность, мировым судьей при рассмотрении дела не установлено.

 Сведений о том, что ООО «Название» ранее привлекалось к административной ответственности, в деле не имеется.

 В силу статьи 4.1.1 Кодекса РФ об административных правонарушениях, за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4. настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 В силу части 2 статьи 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.

 Исходя из конкретных обстоятельств дела, действиями ООО «Название» вред или угроза причинения вреда жизни и здоровью людей, растительному миру, окружающей среде, не причинены.

 Часть 1 статьи 13.11 Кодекса РФ об административных правонарушениях не входит в перечень административных правонарушений, перечисленных в части 2 статьи 4.1.1 названного Кодекса, при совершении которых административное наказание в виде административного штрафа не подлежит замене на предупреждение.

 Таким образом, имеется совокупность юридически значимых обстоятельств, позволяющих применить в данном случае положения части 1 статьи 4.1.1 Кодекса РФ об административных правонарушениях.

Следовательно, штраф подлежит замене на предупреждение.

 Руководствуясь ст.ст.4.1.1, 13.11, 29.9, 29.10 Кодекса РФ об административных правонарушениях, мировой судья,

П О С Т А Н О В И Л :

 Признать ООО «Название» виновным в совершении административного правонарушения, предусмотренного ч.1 ст. 13.11 Кодекса РФ об административных правонарушениях, за которое назначить наказание в виде предупреждения.

 Постановление может быть обжаловано в течение десяти суток со дня вручения или получения копии постановления в <АДРЕС> районный суд г. <АДРЕС> через мирового судью, вынесшего постановление.

Мировой судья /подпись/

<ОБЕЗЛИЧЕНО>

Источник: http://6len.nsk.msudrf.ru/modules.php?name=sud_delo&op=sd&number=70728352&delo_id=1500001