УИД 54 МS 0113-01-2023-000294-18
Производство № 12-131/2023
РЕШЕНИЕ
26 сентября 2023 года <адрес>
Судья Обского городского суда <адрес> Тайлакова Т.А.,
при секретаре судебного заседания Хафизовой В.О.,
рассмотрев в открытом судебном заседании жалобу ФИО1 АО «Авиакомпания Сибирь» ФИО3 на постановление мирового судьи 1-го судебного участка судебного района <адрес> от ДД.ММ.ГГГГ по делу об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ,
УСТАНОВИЛ:
Постановлением мирового судьи 1-го судебного участка судебного района <адрес> от ДД.ММ.ГГГГ АО «Авиакомпания Сибирь» признано виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, и подвергнуто административному наказанию в виде предупреждения.
Не согласившись с указанным постановлением, ФИО1 АО «Авиакомпания Сибирь» ФИО3, действующий на основании доверенности, направил в Обской городской суд <адрес> жалобу, которой просит постановление по делу об административном правонарушении отменить, производство по делу об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ, в отношении АО «Авиакомпания Сибирь» прекратить.
В обоснование заявленных требований указано, что при рассмотрении дела об административном правонарушении мировой судья установил, что АО «Авиакомпания Сибирь» были нарушены требования ч. 1 ст. 6 и ст. 7 Федерального закона от ДД.ММ.ГГГГ № 152-ФЗ «О персональных данных» в части допущенной оператором неправомерной обработки (предоставление доступа) персональных данных клиентов, зарегистрированных в личном кабинете на сайте S7.ru. Однако, авиакомпания названные выше требования законодательства не нарушала и в действиях авиакомпании отсутствует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
Объективной стороной правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ является обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.
Согласно положениям ст. 3 Федерального закона «О персональных данных» обработка персональных данных – любое действие или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, предоставление – это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Следовательно, ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за активные действия оператора, выражающиеся в неправомерной передче персональных данных субъектов.
Вместе с тем, в процессе рассмотрения дела об административном правонарушении, данные обстоятельства установлены не были. АО «Авиакомпания «Сибирь» не совершало активных действий, направленных на распространение, в данном случае на передачу (не предоставило доступ) к сведениям пользователям сайта www. s7. ru. Каким-либо третьим лицам.
При этом зафиксированный факт доступа в личный кабинет не свидетельствует, что в отношении персональных данных клиентов неустановленными лицами производилась их обработка, а именно сбор, запись, извлечение или удаление, а подтверждает только наличие такой возможности. В адрес АО «Авиакомпания «Сибирь» обращения субъектов персональных данных не поступали, какие-либо мошеннические действия в личных кабинетах, по которым зафиксирован несанкционированный доступ, не осуществлялись.
Следовательно, вывод мирового судьи, что доступ к персональным данным клиента может быть предоставлен не в результате активных действий оператора, а в результате неисполнения им требований ч. 1 ст. 18.1 Федерального закона «о персональных данных», не основан на нормах действующего законодательства.
Кроме того, в протоколе об административном правонарушении от ДД.ММ.ГГГГ № АП-54/6/134 и акте внеплановой выездной проверки от ДД.ММ.ГГГГ № ФИО1 отсутствуют выводы о невыполнении авиакомпанией каких-либо обязанностей и (или) непринятии каких-либо конкретных мер по надлежащему хранению персональных данных, способствующих совершению несанкционированного доступа к сведениям, размещенным на интернет-ресурсе www. s7. ru.
Жалоба подана в срок, установленный ч. 1 ст. 30.3 КоАП РФ срок, обстоятельств, препятствующих для ее рассмотрения, не имеется.
В судебном заседании ФИО1 АО «Авиакомпания Сибирь» ФИО3, действующий на основании доверенности, доводы жалобы поддержал.
ФИО1 по Сибирскому федеральному округу ФИО4, действующая на основании доверенности, с доводами жалобы АО «Авиакомпания «Сибирь» не согласилась и указала, что состав правонарушения, предусмотренный ч. 1 ст. 13.11 КоАП РФ является формальным и правонарушение считается совершенным независимо от наступивших последствий. Следовательно, сам факт неправомерного доступа к персональным данным является достаточным для привлечения к административной ответственности. Факт допущенного неправомерного доступа к персональным данным клиентов, зарегистрированных на сайте www. s7. ru. Подтвержден, в том числе в ходе проведения ФИО1 внеплановой выездной проверки в период с ДД.ММ.ГГГГ по ДД.ММ.ГГГГ. В связи с чем, довод жалобы об отсутствии в действиях Оператора объективной стороны административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, является несостоятельным.
Также несостоятельны доводы жалобы о необходимости рассмотрения инцидента, повлекшего несанкционированный доступ к персональным данным клиентов, зарегистрированных на сайте www. s7. Ru, в контексте требований ст. 19 Федерального закона «О персональных данных» и ст. 13.12 КоАП РФ, поскольку вопросы контроля по обеспечению безопасности персональных данных в информационных системах находятся в компетенции ФСБ России и ФСТЭК России.
Изучив доводы жалобы, заслушав участников процесса, исследовав материалы дела об административном правонарушении, судья учитывает следующее.
Часть 1 ст. 13.11 КоАП РФ предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13. настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.
Объективная сторона правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, заключается: в обработке персональных данных в случаях, не предусмотренных законодательством или в обработке персональных данных, несовместимой с заявленными целями.
На основании ч. 1 1 статьи 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Отношения, связанные с обработкой персональных данных регулируются Федеральным законом от ДД.ММ.ГГГГ N 152-ФЗ «О персональных данных».
Исходя из положений ч.1 ст.6 Федерального закона «О персональных данных» обработка (в том числе доступ) персональных данных допускается с согласия субъекта персональных данных либо при наличии иных, предусмотренных законом оснований. Обработка персональных данных без получения согласия субъекта персональных данных допускается в случаях, установленных п.п.2-11 ч.1 ст.6 настоящего закона.
В силу ст.7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласно ст.3 названного Федерального закона персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Как следует из материалов дела и установлено мировым судьей, в период с ДД.ММ.ГГГГ по ДД.ММ.ГГГГ ФИО1 по Сибирскому федеральному округу проведена внеплановая выездная проверка в отношении АО «Авиакомпания «Сибирь» с целью исполнения поручения Заместителя Председателя Правительства Российской Федерации от ДД.ММ.ГГГГ № ДЧ-П10-2293 8, на основании Постановления Правительства Российской Федерации от ДД.ММ.ГГГГ № «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
В соответствии с уведомлением от ДД.ММ.ГГГГ АО «Авиакомпания «Сибирь» ДД.ММ.ГГГГ в 04:45 был установлен факт неправомерного доступа к персональным данным клиентов в объеме 50000 субъектов персональных данных в объеме: фамилия, имя, пол, дата рождения, паспорт РФ, данные заграничного паспорта, адрес электронной почты, номер мобильного телефона, адрес места жительства, данные визы. Предполагаемые причины, повлекшие нарушение прав субъектов персональных данных - попытка получения несанкционированного доступа к личным кабинетам субъектов персональных данных на ресурсе https://www.s7.ru с использованием пары «логин-пароль» из доступных (скомпрометированных) в сети Интернет баз данных с утечками. Предположительно, утечка произошла вследствие использования субъектами персональных данных одинаковых паролей и логинов на различных интернет- ресурсах.
ДД.ММ.ГГГГ в 16:33 по результатам внутреннего расследования АО «Авиакомпания «Сибирь» в ФИО1 поступило новое Уведомление Оператора о факте неправомерной или случайной передачи (предоставлении, распространении, доступе), повлекшей нарушение прав субъектов персональных данных (№).
В ходе проверки Оператором также представлена пояснительная записка по инциденту несанкционированного доступа от ДД.ММ.ГГГГ (исх. от ДД.ММ.ГГГГ №-с- 202-23-92) и акт по результатам служебного расследования по факту инцидента информационной безопасности, связанного с получением неправомерного доступа ПДН клиентов (субъектов ПДн) АО «Авиакомпания «Сибирь» от ДД.ММ.ГГГГ, из которых следует, что ДД.ММ.ГГГГ инженер отдела сетевой безопасности при ежедневном анализе трафика WAF обнаружил зловредную активность на сайте компании https://www.s7.ru. Период атаки с 04:45 до 8:00 МСК. Всего запросов в атаке 2 162 202. По 47 621 учетным записям был зафиксирован успешный вход. Геораспределенная атака осуществлялась с IР адресов множества стран.
Факт допущенного неправомерного доступа к персональным данным клиентов, зарегистрированных на сайте www.s7.ru, оператором в лице АО «Авиакомпания «Сибирь» подтвержден.
В соответствии с частью 1 статьи 18.1 Федерального закона «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
В соответствии с пунктом 1 статьи 3 Федерального закона «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В связи с чем, содержание скомпрометированной базы данных относиться к персональным данным пользователей и клиентов АО «Авиакомпания «Сибирь».
В силу положений пункта 1 статьи 3 Федерального закона «О персональных данных» АО «Авиакомпания «Сибирь» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.
По результатам внеплановой проверки в действиях АО «Авиакомпания «Сибирь» выявлено нарушение требований части 1 статьи 6 и статьи 7 Федерального закона «О персональных данных».
АО «Авиакомпания «Сибирь», являясь оператором персональных данных, несет ответственность за нарушение порядка и условий обработки персональных данных, факт которого выявлен и подтвердился в ходе проверки. Противоправная деятельность неустановленных лиц, следствием которой явилось распространение персональных данных клиентов организации, не освобождает её от обязанности принять меры, направленные на устранение выявленных нарушений.
При этом ссылка ФИО1 юридического лица о том, что третьими лицами получен доступ к личным кабинетам сайта С7 по ранее скомпрометированным паролям базы данных ООО «Лаборатория Гемотест», ПАО «Ростелеком», ООО «ДНС Ритейл», ООО «Транс-миссия» (сервис Ситимобил), является несостоятельной.
Совокупность представленных в дело доказательств свидетельствует о том, что АО «Авиакомпания «Сибирь» допустило нарушение требований ч. 1 ст. 6 и ст. 7 Федерального закона «О персональных данных».
Вывод мирового судьи о наличии в действиях АО «Авиакомпания Сибирь» состава административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ, соответствует фактическим обстоятельствам дела и представленным доказательствам, которые были исследованы и оценены мировым судьей по правилам, установленным ст.26.11 КоАП РФ.
Мировым судьей при рассмотрении дела об административном правонарушении в отношении АО «Авиакомпания Сибирь» дана надлежащая оценка доказательствам. Оснований для иных выводов у суда не имеется.
В соответствии с частью 1 статьи 2.1 КоАП РФ административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое названным Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.
Юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
Чрезвычайных и непредотвратимых обстоятельств, объективно препятствовавших исполнить требования законодательства, не установлено.
В силу части 1 статьи 1.5 КоАП РФ лицо подлежит административной ответственности только за те административные правонарушения, в отношении которых установлена его вина.
Согласно части 2 статьи 2.1 КоАП РФ юридическое лицо признаётся виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых Кодексом Российской Федерации об административных правонарушениях или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
Согласно правовой позиции, изложенной в п. 16.1 Постановления Пленума Высшего Арбитражного Суда РФ от ДД.ММ.ГГГГ № «О некоторых вопросах, возникающих в судебной практике при рассмотрении дел об административных правонарушениях», в отношении юридических лиц Кодекс Российской Федерации об административных правонарушениях формы вины (статья 2.2 КоАП РФ) не выделяет. В тех случаях, когда в соответствующих статьях Особенной части Кодекса РФ об административных правонарушениях возможность привлечения к административной ответственности за административное правонарушение ставится в зависимость от формы вины, в отношении юридических лиц требуется лишь установление того, что у соответствующего лица имелась возможность для соблюдения правил и норм, за нарушение которых предусмотрена административная ответственность, но им не были приняты все зависящие от него меры по их соблюдению (часть 2 статьи 2.1 Кодекса Российской Федерации об административных правонарушениях). Обстоятельства, указанные в части 1 или 2 статьи 2.2 Кодекса Российской Федерации об административных правонарушениях, применительно к юридическим лицам установлению не подлежат.
В рассматриваемом случае АО «Авиакомпания «Сибирь» не приняло все зависящие от него меры по соблюдению требований законодательства о персональных данных. При достаточной степени заботливости и осмотрительности, заведомой осведомлённости о требованиях закона, обязательности применимости закона и ответственности за невыполнение закона АО «Авиакомпания «Сибирь» могло и должно было обеспечить выполнение требований действующего законодательства. Однако не были приняты все зависящие меры по их исполнению.
Доказательств невозможности соблюдения требований законодательства, которые АО «Авиакомпания «Сибирь» не могло предвидеть и предотвратить при соблюдении обычной степени заботливости и осмотрительности, не представлено.
Каких-либо неустранимых сомнений по делу, которые должны толковаться в пользу АО «Авиакомпания Сибирь», судом не установлено.
В соответствии с требованиями ст. 24.1 КоАП РФ при рассмотрении дела об административном правонарушении на основании полного и всестороннего анализа собранных по делу доказательств мировым судьей установлены все юридически значимые обстоятельства его совершения, предусмотренные ст. 26.1 данного Кодекса.
Мировым судьей действия АО «Авиакомпания Сибирь» правильно квалифицированы по ст. ч. 1 ст. 13.11 КоАП РФ.
Нарушений норм процессуального закона в ходе производства по делу не допущено, нормы материального права применены правильно, наказание назначено с соблюдением положений ст. 4.1 КоАП РФ, в пределах санкции ч. 1 ст. 13.11 КоАП РФ.
Постановление о привлечении АО «Авиакомпания Сибирь» к административной ответственности за совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, вынесено мировым судьей в пределах срока давности привлечения к административной ответственности, установленного ч. 1 ст.4.5 КоАП РФ для данной категории дел.
Обстоятельств, которые в силу ст. 30.7 КоАП РФ могли бы повлечь изменение или отмену обжалуемого судебного акта, не установлено.
На основании изложенного, руководствуясь ст. 30.7 КоАП РФ, судья
РЕШИЛ:
Постановление мирового судьи 1-го судебного участка судебного района <адрес> от ДД.ММ.ГГГГ, вынесенное в отношении АО «Авиакомпания Сибирь» по делу об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ, оставить без изменения, жалобу ФИО3 - без удовлетворения.
Постановление по делу об административном правонарушении от ДД.ММ.ГГГГ и настоящее решение вступают в законную силу немедленно после оглашения настоящего решения.
Судья ФИО5