Решение по административному делу
Дело <НОМЕР>
Поступило <ДАТА1> ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
630096, г. <АДРЕС>, ул. <АДРЕС>, д. 4, кабинет 11
г. <АДРЕС> <ДАТА2>
Мировой судья 6-го судебного участка Ленинского судебного района <АДРЕС> <ФИО1>,
рассмотрев в судебном заседании материалы дела об административном правонарушении по ч.1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица - ООО «Название» <ОБЕЗЛИЧЕНО>
УСТАНОВИЛ:
ООО «Название» допустило факт неправомерного доступа к базе данных, содержащей персональные данные пользователей сайта ООО «Название», а именно <ДАТА3> в 19:11 установлен факт неправомерного доступа третьих лиц к базе данных пользователей сайта ООО «Название» через систему управления сайтом «Битрикс». Доступ осуществлён к персональным данным посетителей сайта: Ф.И.О., пол, номер телефона, адрес электронной почты, адрес отправления такси, адрес назначения такси, а также автоматические загруженные данные, такие как IP-адреса, браузер, геолокация клиента.
В судебном заседании защитник ООО «Название» <ФИО2> пояснила, что вину в совершении административного правонарушения ООО «Название» не признает в полном объеме, так как утечка персональных данных клиентов произошла в результате «хакерской» атаки на сайт организации, просила дело прекратить в связи с малозначительностью.
Представители Управления Роскомнадзора по Сибирскому федеральному округу по доверенности поддержали доводы, изложенные в протоколе об административном правонарушении.
Исследовав материалы дела, мировой судья считает, что вина ООО «Название» в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ установлена и подтверждается материалами дела:
-протоколом об административном правонарушении <НОМЕР> от <ДАТА4>, согласно которому ООО «Название» допустило факт неправомерного доступа к базе данных, содержащей персональные данные пользователей сайта ООО «Название», а именно <ДАТА3> в 19:11 установлен факт неправомерного доступа третьих лиц к базе данных пользователей сайта ООО «Название» через систему управления сайтом «Битрикс». Доступ осуществлён к персональным данным посетителей сайта: Ф.И.О., пол, номер телефона, адрес электронной почты, адрес отправления такси, адрес назначения такси, а также автоматические загруженные данные, такие как IP-адреса, браузер, геолокация клиента.
Злоумышленник (несанкционированный внешний пользователь) нашел уязвимость в «Битрикс» и получил доступ к сайту как администратор. Он удалил файлы сайта и базу данных, после чего разместил полученные персональные данные посетителей сайта на сайте ________________ .
-уведомлениями о факте неправомерной или случайной передаче персональных данных, повлекших нарушение прав субъектов персональных данных от <ДАТА3> и от <ДАТА6>;
- скриншотом адреса страницы сайта https://______________;
-выпиской из Единого государственного реестра юридических лиц в отношении ООО «Название».
При этом суд исходит из следующего.
Как следует из материалов дела, Роскомнадзором в ходе мониторинга сети «Интернет» по адресам: ________________________ и выявлены признаки распространения неограниченному кругу лиц персональных данных пользователей интернет-ресурса _____________ в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты.
<ДАТА3> в Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона <НОМЕР> от ООО «Название» поступило Уведомление о факте неправомерной или случайной передачи (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных (номер <НОМЕР>) (далее уведомление от <ДАТА3>).
В соответствии с уведомлением от <ДАТА3> ООО «Название», <ДАТА3> установлен факт неправомерного доступа третьих лиц к базе данных пользователей сайта ООО «Название» через систему управления сайтом «Битрикс». Доступ был осуществлён к персональным данным посетителей сайта; ФИО, пол, номер телефона, адрес электронной почты, адрес отправления такси, адрес назначения такси, а также автоматически загруженные данные, такие как IP-адреса, браузер, геолокация клиента. Злоумышленник (несанкционированный внешний пользователь) нашел уязвимость в «Битрикс» и получил доступ к сайту как администратор. Он удалил файлы сайта и базу данных. О произошедшей утечке персональных данных достоверно узнали из письма Роскомнадзора <НОМЕР> от <ДАТА5>.
<ДАТА6> по результатам внутреннего расследования от ООО «Название» в Роскомнадзор поступило новое Уведомление Оператора о факте неправомерной или случайной передачи (предоставлении, распространении, доступе), повлекшей нарушение прав субъектов персональных данных (номер <НОМЕР>) (далее уведомление от <ДАТА6>). Из уведомления следует, что злоумышленник получил доступ через систему управления сайтом «Битрикс», разместил на хостинге скрипт, через который мог выполнять команды на сервере. Действия, предпринятые ООО «Название» для защиты от проникновения:1.Обновлена CMS Битрикс; 2.Выполнены рекомендованные Битриксом действия для защиты сайта после обновления; 3. Проведено обследование сайта на наличие сторонних скриптов; 4.Защита системы администрирования от входа со сторонних IР-адресов; 5.Изменены пароли администраторов в CMS, 6. Включен access.log для nginx.
В соответствии с пунктом 1 статьи 3 Федерального закона <НОМЕР> под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В связи с чем содержание скомпрометированной базы данных будет относиться к персональным данным пользователей сайта _______ ООО «Название».
По смыслу пункта 1 статьи 3 Федерального закона <НОМЕР> ООО «Название» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Федерального закона <НОМЕР> в полном объеме.
Согласно пункту 3 статьи 3 Федерального закона <НОМЕР> о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Исходя из положений части 1 статьи 6 Федерального закона <НОМЕР> обработка (в том числе доступ) персональных данных допускается с согласия субъекта персональных данных либо при наличии иных, предусмотренных законом оснований. Обработка персональных данных без получения согласия субъекта персональных данных допускается в случаях, установленных пунктами 2-11 части 1 статьи 6 Федерального закона <НОМЕР>.
Согласно статье 7 Федерального закона <НОМЕР> операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Особенности обработки персональных данных, разрешенных субъектом персональных для распространения в сети Интернет, установлены статьей 10.1 Федерального закона <НОМЕР> о персональных данных.
Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от <ДАТА7> <НОМЕР> «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
На основании изложенного в действиях ООО «Название» выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных.
Исследовав и оценив все указанные доказательства по делу в их совокупности и по правилам ст. 26.11 КоАП РФ, мировой судья находит установленным и полностью доказанным наличие события административного правонарушения и вины ООО «Название» в совершении правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ.
Судом не установлено каких-либо существенных процессуальных нарушений при составлении протокола об административном правонарушении, которые могли бы повлиять на объективное, правильное и всестороннее рассмотрение дела.
Обстоятельств, исключающих производство по делу об административном правонарушении, не имеется.
При назначении административного наказания, мировой судья учитывает характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица.
Обстоятельств, смягчающих и отягчающих административную ответственность, мировым судьей при рассмотрении дела не установлено.
Сведений о том, что ООО «Название» ранее привлекалось к административной ответственности, в деле не имеется.
В силу статьи 4.1.1 Кодекса РФ об административных правонарушениях, за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4. настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.
В силу части 2 статьи 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.
Исходя из конкретных обстоятельств дела, действиями ООО «Название» вред или угроза причинения вреда жизни и здоровью людей, растительному миру, окружающей среде, не причинены.
Часть 1 статьи 13.11 Кодекса РФ об административных правонарушениях не входит в перечень административных правонарушений, перечисленных в части 2 статьи 4.1.1 названного Кодекса, при совершении которых административное наказание в виде административного штрафа не подлежит замене на предупреждение.
Таким образом, имеется совокупность юридически значимых обстоятельств, позволяющих применить в данном случае положения части 1 статьи 4.1.1 Кодекса РФ об административных правонарушениях.
Следовательно, штраф подлежит замене на предупреждение.
Руководствуясь ст.ст.4.1.1, 13.11, 29.9, 29.10 Кодекса РФ об административных правонарушениях, мировой судья,
П О С Т А Н О В И Л :
Признать ООО «Название» виновным в совершении административного правонарушения, предусмотренного ч.1 ст. 13.11 Кодекса РФ об административных правонарушениях, за которое назначить наказание в виде предупреждения.
Постановление может быть обжаловано в течение десяти суток со дня вручения или получения копии постановления в <АДРЕС> районный суд г. <АДРЕС> через мирового судью, вынесшего постановление.
Мировой судья /подпись/
<ОБЕЗЛИЧЕНО>
Источник: http://6len.nsk.msudrf.ru/modules.php?name=sud_delo&op=sd&number=70728352&delo_id=1500001
Обязанность оператора
Часть 1 статьи 13.11 Кодекса РФ об АП
категорий:
Предоставление информации по запросу субъекта
Неправомерный доступ к ИСПДН, повлекший распространение персональных данных
Демонстрация в видеосюжете персональных данных абитуриентов на экране компьютера
Обработка персональных данных в связи с начислением платы за ТКО
Нарушения законодательства в области персональных данных в обществе
Размещение в соц.сети фото с пациентом
Размещение в "Вайбер" справки о судимости
Публикация статьи, содержащей персональные данные умершего
Пост с раскрытием персональных данных в социальной сети