Судебная практика

№ 5-661/2024

П О С Т А Н О В Л Е Н И Е

дата                                                                                         адрес

 

 Мировой судья судебного участка № 287 адрес Сосновцева М.В., исполняющий обязанности мирового судьи судебного участка № 290 адрес (адрес: адрес), рассмотрев дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении:

наименование организации, ИНН: _________,
ОГРН: ___________, дата государственной регистрации – дата, юридический адрес: адрес Энтузиастов, д. 5, к. 5, этаж 4, ком. 404, сведений о привлечении к административной ответственности за однородные административные правонарушения в материалах дела не имеется,

У С Т А Н О В И Л:

 дата в время наименование организации, находясь по адресу адрес Энтузиастов, д.5, к.5, этаж 4, ком.404 допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, то есть совершило административное правонарушение, предусмотренное ч.1 ст.13.11 Кодекса РФ об административных правонарушениях, а именно: Управление Роскомнадзора по Центральному федеральному округу на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу, утвержденного приказом Роскомнадзора от дата № 38, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на адрес и адрес. В сети Интернет по адресам: https://t.me/l,blackjack 1/111, https://t.me/l_blackjack_1/113, Роскомнадзором выявлен факт наличия базы данных наименование организации, содержащей персональные данные субъектов персональных данных Оператора, в объеме: фамилия, имя, отчество, адреса электронной почты, номера мобильных телефонов. В Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона от дата № 152-Ф3 «O персональных данных» (далее - Закон о персональных данных) поступили уведомления Оператора от дата № 6425857, и от дата № 6429293, о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее Уведомления о факте неправомерной или случайной передачи персональных данных). Согласно Уведомлениям о факте неправомерной или случайной передачи персональных данных Оператора причиной, повлекшей нарушение прав субъектов персональных данных, является внешняя атака на IT инфраструктуру компании. Дата и время выявления Оператором инцидента: дата в время.
 Таким образом, Оператором подтвержден факт неправомерного доступа к базе данных, содержащей персональные данные субъектов персональных данных наименование организации. Содержание скомпрометированной базы данных относится к персональным данным субъектов персональных данных Оператора. По _смыслу пункта 1 статьи 3 Закона о персональных данных наименование организации является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

 Согласно пункту 3 статьи 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона о персональных данных. Более того, оператор обязан обеспечить конфиденциальность персональных данных.

 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения, установлены статьей 10.1 Закона о персональных данных. Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены приказом Роскомнадзора от дата № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». На основании изложенного в действиях Оператора выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные субъектов персональных данных Оператора, повлекшего за собой распространение персональных данных субъектов персональных данных Оператора неограниченному кругу лиц.

 Защитник наименование организации ФИО в судебное заседание явилась, вину Общества не признала, по доводам письменных возражений, указав, что поводом для направления уведомления в Роскомнадзор явилось подозрение Общества о потенциальной утечке персональных данных, оператором по обработке которых является Общество. По окончании внутреннего расследования инцидента Обществом было направлено уведомление, согласно которому утечка персональных данных выявлена не была. Материалы дела не содержат каких-либо письменных доказательств, которыми подтверждалось бы, что по указанному в Протоколе адресу в сети Интернет размещена информация, содержащая персональные данные в составе и объеме, указанных в Протоколе. Общество не является оператором в отношении персональных данных и не может нести ответственности за правомерность их обработки. Фамилии, имена и отчества руководителей любых юридических лиц свободно доступны неограниченному кругу пользователей посредством доступа через сеть Интернет к данным Единого государственного реестра юридических лиц. Общество непосредственно является оператором в отношении персональных данных и обрабатывает с использованием средств автоматизации персональные данные своих работников, уволенных работников, родственников работников и контрагентов - физических лиц, оказывающих услуги/выполняющих работы в интересах Общества. Персональные данные указанных лиц содержатся в соответствующей базе данных 1С Общества. Персональные данные, в отношении которых Общество является оператором, обрабатываются Обществом в соответствии с установленными требованиями. В то же время, доступ третьих лиц к базе данных, содержащих персональные данные, в отношении которых Общество является оператором, по результатам внутреннего расследования инцидента не подтверждается. Согласно п.2 ч. 1 ст.24.5 КоАП РФ просила производство по делу об административном правонарушении прекратить ввиду отсутствия состава административного правонарушения. Кроме того, защитник пояснил в судебном заседании, что уведомление в Роскомнадзор было направлено по причине взлома и Общество не знало заранее к чему это могло привести, в том числе не было уверено в отсутствии доступа в персональным данным.

 Представитель Управления Роскомнадзора по ЦФО ФИО в судебное заседание явилась, обстоятельства, изложенные в протоколе об административном правонарушении подтвердила, просила привлечь наименование организации к административной ответственности, пояснила, что в соответствии с п.1 ч.3.5 ст. 28.1 КоАП РФ, без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом орган, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, может возбуждать дела об административных правонарушениях, предусмотренных ч.ч. 1 - 2.1 и 4 ст. 13.11 (в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения). Принимая во внимание, что Оператором подтвержден факт неправомерного доступа к базе данных, содержащей персональные данные субъектов персональных данных Оператора, в действиях Оператора усматривается состав административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ.

 Суд, выслушав защитника лица, привлекаемого к административной ответственности, представителя Роскомнадзора, исследовав письменные материалы дела, приходит к выводу о том, что вина наименование организации в совершении им правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно:

- протоколом об административном правонарушении от дата,

- письмом о направлении материалов для принятия мер реагирования в отношении наименование организации от дата,

- уведомлениями наименование организации от дата, дата,

- скриншотами,

- договорами поставки,

- соглашением о реализации возможности доступа уполномоченным представителям ФСБ России к информации об абонентах сети наименование организации и оказанных услугах связи,

- выпиской из ЕГРЮЛ.

 Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.

 Ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

 В соответствии с п. 1 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 Согласно п. 2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 В соответствии с п. 3 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Согласно ч. 1 ст. 6 Федерального закона № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

 Как установлено судом и следует из материалов дела, в Роскомнадзор от наименование организации поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных.

 Согласно Уведомлению о факте неправомерной или случайной передачи персональных данных Оператора причиной, повлекшей нарушение прав субъектов персональных данных, является внешняя атака на IT инфраструктуру компании.

 Таким образом, сам факт утечки персональных данных пользователей сервиса наименование организации является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ.

 Объективная сторона правонарушений по ч.1 ст.13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

 Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

 Вопреки доводам защитника об отсутствии объективных доказательств того, что наименование организации является субъектом административного правонарушения, именно наименование организации по смыслу пункта 1 статьи 3 Закона о персональных данных является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

 С учетом изложенных обстоятельств, доводы защитника наименование организации об отсутствии вины наименование организации в передаче персональных данных, отсутствия наступивших последствий, причинения вреда субъектам персональных данных, отсутствии состава и события правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц, что не исключает привлечение юридического лица к административной ответственности по ч. 1 ст. 13.11 КоАП РФ.

 В силу части 2 статьи 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

 Надлежащих доказательств, что наименование организации были приняты все зависящие от него меры по соблюдению требований законодательства в области защиты персональных данных до момента выявления факта наличия базы данных наименование организации, содержащей персональные данные, суду не представлено.

 Таким образом, наименование организации, имея возможность для соблюдения правил и норм, за нарушение которых Кодексом Российской Федерации об административных правонарушениях предусмотрена административная ответственность, не приняло все зависящие от него меры по их соблюдению, в связи с чем данное деяние необходимо квалифицировать по части 1 статьей 13.11 КоАП РФ.

 В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.

 Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания наименование организации виновным в совершении административного правонарушения, а действия наименование организации квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

 Оснований для освобождения от административной ответственности, применения положений ст. 2.9 КоАП РФ, а также переквалификации действий наименование организации суд не усматривает.

 Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.

 Обстоятельств, смягчающих и отягчающих административную ответственность наименование организации, судом не установлено.

 При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность наименование организации обстоятельств, и считает необходимым назначить наименование организации наказание в виде административного штрафа.

 На основании вышеизложенного, руководствуясь статьями 29.9 - 29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

постановил:

 Признать наименование организации виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

Штраф подлежит перечислению по реквизитам:

Получатель платежа   Получатель УФК по адрес  (Департамент по обеспечению деятельности мировых судей адрес л/с 04732805000)

ИНН                                                           7704236196

КПП                                                           770401001

Расчетный счет                                          03100643000000017300

Корреспондентский счёт                           40102810545370000003

Банк получателя платежа                           ГУ Банка России по ЦФО//УФК по адрес адрес

БИК                                                            004525988

ОКТМО                                                      45374000

КБК                                                            80511601133010000140

УИН                                                                        0356140805006612902406410

Назначение платежа   Штраф. Номер дела 05-0661/290/2024, постановление от дата по Ст. 13.11, Ч.1 КоАП РФ в отношении наименование организации. адрес № 290 тел.: +7(499)748-77-91, +7(499)748-77-92.

Разъяснить, что в соответствии со ст. 32.2 Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу. При отсутствии документа, свидетельствующего об уплате административного штрафа, по истечении шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу, копия указанного постановления направляется судебному приставу-исполнителю для исполнения в порядке, предусмотренном федеральным законодательством. 

В подтверждение оплаты административного штрафа копия квитанции должна быть представлена в судебный участок № 290 адрес (нарочным либо посредством e-mail: mirsud290@ums-mos.ru) до истечения указанного срока.

Постановление может быть обжаловано в Перовский районный суд адрес через мирового судью судебного участка № 290 адрес в течение 10 суток со дня вручения или получения копии постановления.

 

Мировой судья                                                             М.В. Сосновцева

Источник: https://mos-sud.ru/290/cases/admin/details/024d1d7d-7779-4829-909f-3f772fd8c529?documentMainArticle=13.11&publishingState=f06e64a&formType=fullForm 

Информация по делу
Статьи
ч.1 ст.13.11 КоАП РФ
Суд
Мировой судья с/у 290 г.Москвы
Судья
Сосновцева М.В.
Дата решения
2024-06-25
Категории
Разглашение
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
Другие дела из подобных
категорий:

Незаконная обработка персональных данных субъекта посредством направления смс-сообщений с предложением об оформлении кредита

Наличие в сети "Интернет" базы данных, содержащей персональные данные клиентов программы лояльности

Обработка персональных данных субъектов без их согласия в письменной форме

Распространение базы данных пользователей сайта интернет-магазина

Направление письма третьим лицам, содержащим персональные данные субъекта

Предоставление персональных данных без согласия

Обработка персональных данных родственников работника в объеме большем, чем этого требуют цели обработки

Отсутствие политики, сведений о защите на сайте

Незаконная обработка персональных данных родителей обучающихся

Нахождение документов, содержащих персональные данные на столе у охранника

Не соблюдение ИП требований в части обработки персональных данных, их хранения, отсутствие согласий субъектов персональных данных на их обработку

Предоставление неправомерного доступа к информационным системам персональных данных

Запрос банком кредитного досье без согласия на обработку персональных данных

Наличие базы данных клиентов на сторонних ресурсах

Обработка биометрических персональных данных учащихся