77MS0098-01-2023-003720-48

Дело № 5-1678/23

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

(резолютивная часть постановления оглашена 3 октября 2023 года)

(мотивированное постановление изготовлено 3 октября 2023 года)

3 октября 2023 года                                                          г. Москва

Мировой судья судебного участка № 98 района Бутырский г. Москвы Путинцева М.А., рассмотрев дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в отношении юридического лица

ООО «Название», ИНН ____, ОГРН _______--, дата регистрации: 08.08.2016, юридический адрес: г. Москва, ул. ___, д. _, корп.__, кв. __, ранее не привлекавшегося к административной ответственности за совершение однородных правонарушений,

УСТАНОВИЛ:

ООО «Название» совершило правонарушение, выразившееся в обработке персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработке персональных данных, несовместимой с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ) и статьей 17.13  КоАП РФ, если эти действия не содержат уголовно наказуемого деяния

Правонарушение совершено при следующих обстоятельствах:

Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга электронных средств массовой информации выявлен факт наличия базы данных оператора - ООО «Название», содержащей персональные данные клиентов оператора в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты, пол, дата рождения, паспортные данные, адрес регистрации.

В ходе мониторинга установлено, что 27.01.2023  в 07 ч 40 мин. оператором персональных данных ООО «Название» допущено нарушение положений ч. 1 ст. 6., ст. 7, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в связи с чем произошло нарушение прав субъектов персональных данных. Причиной нарушения прав субъектов явилась утечка данных в результате наличия уязвимости в одном из публичных сервисов компании.

По результатам дополнительного расследования установлено, что выложенный злоумышленниками в публичном доступе архив имеет отношение к случаю публикации этого же архива злоумышленниками в закрытом доступе в июне 2022 года. Данных архив содержит конфигурационные файлы проектов приложения оператора и несколько файлов выгрузки по клиентам компании. Всего в архиве содержится свыше 233 тысячи файлов. Причиной инцидента в 2022 году послужило наличие критической уязвимости (СVE-2022-11621) в публичном сервисе GitLab, который ранее использовался оператором в моменте переноса инфраструктуры из одного центра обработки данных в другой.

В ходе дополнительного расследования в январе 2023 года установлено, что причиной размещения клиентских данных во внешнем сервисе GitLab в 2022 году стала ошибка в коде одного из проектов оператора.

В ходе анализа файлов выгрузки по клиентам оператора установлено, что всего в них содержатся данные о 38997 клиентах. В части персональных данных выгрузка содержит: ФИО, телефон, адрес электронной почты, дата рождения, паспортные данные, адрес регистрации. Актуальных финансовых данных в архиве не содержится.

Защитник ООО «Название» - К  в судебное заседание явилась, вину ООО «Название» в совершении правонарушения не признала. Поддержала доводы, изложенные в письменных возражениях. Суду также пояснила, что хотела бы особо отметить тот факт, что ООО «Название» предприняло все зависящие от него меры по предотвращению совершения правонарушения, однако в связи с тем, что информация размещалась на публичном сервисе, вина ООО «Название» в совершенном правонарушении отсутствует. Утечка произошла с внешнего ресурса, на котором временно находились базы данных ООО «Название». Кроме того, на момент утечки персональных данных обязанность у ООО «Название» по уведомлению Роскомнадзора отсутствовала, ООО «Название» 14.06.2022 уведомили об утечке персональных данных Банк России. При этом при обнаружении утечки базы данных, ООО «Название» были приложены все возможные усилия для минимизации ее последствий и предотвращении подобного впоследствии. Полагала, что срок давности привлечения ООО «Название» к ответственности истек, поскольку утечка данных произошла в феврале 2022 года. В случае привлечения ООО «Название» к ответственности, представитель просила применить положения ст. 2.9 КоАП РФ.

Выслушав защитника ООО «Название», свидетелей, изучив материалы дела, мировой судья считает, что вина ООО «Название» в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, доказана и подтверждается следующими материалами дела:

- протоколом об административном правонарушении от 31.07.2023, в котором изложено существо правонарушения;

- письмом Роскомнадзора от 29.06.2023 о направлении материалов для принятия мер реагирования в связи с выявлением факта распространения базы данных, содержащей персональные данные клиентов ООО «Название»;

- уведомлением о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 27.01.2023,

- уведомлением о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных 01.02.01.2023;

- справкой по инциденту информационной безопасности от 01.02.2023;

- фотоматериалами мониторинга Роскомнадзора;

- уведомлением о составлении протокола об административном правонарушении от 04.07.2023;

- выпиской из Единого государственного реестра юридических лиц на ООО «Название»;

- свидетельством о постановке на учет российской организации в налоговом органе по месту нахождения от 29.04.2020;

- уставом ООО «Название», утвержденным 08.08.2022;

- объяснениями ООО «Название»;

- возражениями ООО «Название» на протокол об административном правонарушении, поступившими в суд 15.09.2023;

- показаниями свидетеля - ведущего специалиста-эксперта отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций – Б., который, указал, что неприязненных отношений к ООО «Название» не испытывает, равно как и не имеет оснований для оговора.

Суду пояснил, что 27.01.2023 от оператора персональных данных ООО «Название» поступило уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Так причиной неправомерной или случайной передачи персональных данных явилась утечка данных в результате наличия уязвимости в одном из публичных серверов компании. По результатам дополнительного расследования установлено, что выложенный в публичном доступе архив оказался в публичном доступе вследствие критической уязвимости в публичном сервисе GitLab.

При этом причиной размещения клиентских данных во внешнем сервисе GitLab стала ошибка в коде одного из проектов ООО «Название». Свидетель также пояснил, что в данном случае не имеет значения, были  ли действия ООО «Название» умышленными, либо утечка произошла в результате случайной передачи данных. Срок исковой давности привлечения к ответственности должен исчисляться с момента направления ООО «Название» уведомления – 27.01.2023;

 - показаниями свидетеля - ведущего специалиста-эксперта Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций – Ж., который, указал, что неприязненных отношений к ООО «Название» не испытывает, равно как и не имеет оснований для оговора. Суду пояснил, что все страницы сайтов, указанные в протоколе об административном правонарушении, на момент мониторинга позволяли получить доступ к персональным данным клиентов ООО «Название». Указанные сведения поступают непосредственно из Центрального управления Роскомнадзора и, если данные поступили, соответственно, указанные страницы прошли мониторинг. Кроме того, свидетель отметил, что две из трех указанных в протоколе ссылок позволяют получить доступ к базе персональных данных на момент рассмотрения дела в судебном заседании, а именно на сайтах t.me, href.li.

В судебном заседании по ходатайству защитника также приобщены к материалам дела: политика по обработке и защите персональных данных ООО «Название», регламент организации удаленного доступа к информационным ресурсам ООО «Название», инструкция по обновлению программного обеспечения в информационных системах «Название», положение о повышении осведомленности работников ООО «Название» в области информационной безопасности, положение по обработке персональных данных кандидатов при приеме на работу в ООО «Название», положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах ООО «Название», положение по организации учета, хранения и уничтожения машинных носителей персональных данных, обрабатываемых в информационных системах ООО «Название», положение по управлению инцидентами информационной безопасности в ООО «Название», политика организации антивирусной защиты в информационных системах ООО «Название», политика по работе на АРМ в информационных системах ООО «Название», инструкция по парольной защите в информационных системах ООО «Название», приказ ООО «Название» №Д/100820/6 от 11.08.2020, приказ ООО «Название» №Д/100820/5 от 11.08.2020, приказ ООО «Название» №Д/100820/2 от 10.08.2020, приказ ООО «Название» №Д/100820/4 от 11.08.2020, протокол комиссии по вопросам защиты информации № 1-ИБ от 15.10.2020, акт определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных ООО «Название»

Материалы дела составлены в соответствии с требованиями закона, надлежащим должностным лицом, не доверять сведениям, указанным в них, оснований не имеется, в связи с чем мировой судья признает их допустимыми доказательствами, которые могут быть положены в основу постановления.

Достоверность и допустимость вышеуказанных доказательств у мирового судьи сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой, получены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные по делу.

Исследовав материалы дела, оценив в совокупности собранные по делу доказательства, судья признает их достоверными и достаточными для признания ООО «Название» виновным в совершении административного правонарушения, а его действия квалифицирует по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях.

На основании  п. 1 ст. 3 Закона о персональных данных персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 3 ст. 3 Закона о персональных данных  обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом о персональных данных. Обработка персональных данных допускается в случаях, предусмотренных ст. 6 Закона о персональных данных.

В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором (ч. 5 ст. 6 Закона о персональных данных).

В силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку (п.п. 1-3 ст. 10.1 Закона о персональных данных).

Согласно п. 3.1 ст. 21 Закона о персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных.

Положениями ч. 1 ст. 13.11 КоАП РФ установлена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2  настоящей статьи и статьей 17.13  настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Из материалов дела усматривается, что ООО «Название» является оператором персональных данных, размещенных на публичном сервисе GitLab, что подтверждается уведомлением о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 27.01.2023.

Как было установлено в ходе мониторинга Управления Роскомнадзора по Центральному федеральному округу электронных средств массовой информации,  27.01.2023  в 07 ч 40 мин. оператором персональных данных ООО «Название» допущено нарушение положений ч. 1 ст. 6., ст. 7, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в связи с чем произошло нарушение прав субъектов персональных данных.  Причиной нарушения прав субъектов явилась утечка данных в результате наличия уязвимости в одном из публичных сервисов компании.

При этом применительно к положениям ч.5 ст.6 Закона о персональных данных несмотря на тот факт, что персональные данные были размещены во внешнем сервисе GitLab, ООО «Название» не обеспечило исполнение положений ч. 1 ст. 6. ст. 7, ст. 10.1 Закона о персональных данных, в частности не выполнило обязанности не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Вопреки доводам ООО «Название» о том, что каких-либо обращений, жалоб клиентов в связи с раскрытием персональных данным не поступало, ответственность за нарушение ст. 13.11 КоАП РФ не зависит от наличия или отсутствия вреда, причиненного обладателям персональных данных.

Утверждение ООО «Название» о том, что срок давности привлечения ООО «Название» к ответственности истек, поскольку инцидент произошел в июне 2022 года, тогда же было направлено уведомление в Банк России, в то время как обязанность, предусмотренная п. 3.1 ст. 21 Закона о персональных данных возникла лишь в сентябре 2022 года, не может быть принят судом. Срок давности привлечения ООО «Название» по ч. 1 ст. 13.11 КоАП РФ исчисляется с момента направления в Роскомнадзор уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, а именно с 27.01.2023.

Указание ООО «Название» на тот факт, что на момент мониторинга сайтов __________-.to, ___.li ссылки, отраженные в ходе мониторинга Роскомнадзора, не позволяли перейти к ресурсам, содержащим базу персональных данных клиентов ООО «Название» не может быть принято судом во внимание. Согласно показаниями свидетеля ФИО., полученным судом в ходе судебного заседания, Центральный аппарат Роскомнадзора осуществляет мониторинг страниц сайтов, в ходе которого выявляются ссылки, которые позволяют получить доступ к базам данных. Отражение страниц сайтов в ходе мониторинга возможно лишь при наличии доступа с указанных страниц к базе персональных данных. Кроме того, в материалах дела имеются скриншоты, выполненные в ходе мониторинга, которые отражают наличие ссылок на такие базы персональных данных. При этом на момент рассмотрения настоящего дела две из трех страниц все еще позволяли осуществить доступ к базам персональных данных.

Учитывая изложенное, суд квалифицирует административное правонарушение, совершенное ООО «Название», по ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13  настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния

При назначении административного наказания судья учитывает характер и степень общественной опасности правонарушения, данные о юридическом лице, которое ранее не привлекалось к административной ответственности за совершение однородных правонарушений в течение срока, установленного в ст. 4.6 КоАП РФ, отсутствие смягчающих и отягчающих обстоятельств, и считает необходимым назначить ООО «Название» административное наказание в виде административного штрафа.

Из Постановления Пленума Верховного Суда РФ от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях», а также Постановления Пленума ВАС РФ от 02.06.2004 № 10 «О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях» следует, что при квалификации правонарушения в качестве малозначительного судам необходимо исходить из оценки конкретных обстоятельств его совершения. Такие обстоятельства, как, например, личность и имущественное положение привлекаемого к ответственности лица, добровольное устранение последствий правонарушения, возмещение причиненного ущерба, не являются обстоятельствами, свидетельствующими о малозначительности правонарушения. Данные обстоятельства в силу частей 2 и 3 статьи 4.1 КоАП РФ учитываются при назначении административного наказания.

В данном случае, оценив конкретные обстоятельства дела, суд не находит оснований для признания правонарушения малозначительным, каких-либо обстоятельств, указывающих на малозначительность совершенного административного правонарушения суду не представлено. Кроме того суд учитывает, что объектом правонарушения являются общественные отношения, связанные с интересом личности в информационной сфере, при этом нарушение закона, повлекшее раскрытие персональных данных граждан в информационной сфере не может быть признано судом малозначительным.

На основании изложенного, руководствуясь ст. ст. 29.9 - 29.11 Кодекса РФ об административных правонарушениях, судья

ПОСТАНОВИЛ:

ООО «Название» признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему административное наказание в виде административного штрафа в размере 60 000 (шестидесяти тысяч) рублей.

Реквизиты для оплаты штрафа

Получатель платежа: Получатель УФК по г. Москве  (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805016780982304741, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-1678/98/2023, постановление от 03.10.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "Название". Судебный участок № 98 тел.: +7(495)639-28-06, +7(495)610-61-69, +7(495)609-90-74.

Разъяснить ООО «Название» положения ст. 32.2 КоАП РФ, согласно которой административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.

В соответствии с ч. 5 ст. 32.2 Кодекса РФ об административных правонарушениях документ, свидетельствующий об уплате административного штрафа, лицо, привлеченное к административной ответственности, направляет судье, вынесшему постановление (лично, посредством почтовой связи или по электронной почте mirsud98@ums-mos.ru с указанием номера дела).

Постановление в соответствии со ст. 30.1-30.3 Кодекса РФ об административных правонарушениях может быть обжаловано в Останкинский районный суд г. Москвы через мирового судью в течение 10 суток со дня вручения или получения копии постановления.

День изготовления постановления в полном объеме является днем его вынесения. 

Мировой судья                                                      М.А.Путинцева

Источник: https://mos-sud.ru/98/cases/admin/details/ac91ed3a-21cd-4015-8784-39233273c5fb?formType=fullForm&caseNumber=&participant=&uid=&year=&caseDateFrom=&caseDateTo=&caseFinalDateFrom=&caseFinalDateTo=&judge=&codex=13.11&publishingState=0083ce0&hearingRangeDateFrom=&hearingRangeDateTo=&sessionRoom=&sessionRangeTimeFrom=&sessionRangeTimeTo=&sessionType=&docsDateFrom=&docsDateTo=&documentStatus=&documentType=