Решение по делу № 2-1120/2023 от 16.02.2023 - о защите прав потребителя.

Дело № 2-1120/2023

31MS0083-01-2022-002837-67

Решение

Именем Российской Федерации

16 февраля 2023 года г.Белгород

Октябрьский районный суд г.Белгорода в составе:

председательствующего судьи Ковригиной М.В.,

при секретаре Шевцовой Е.М.,

с участием истицы ФИО1, ее представителя ФИО2, представителя ответчика ООО «Яндекс.Еда» ФИО3,

рассмотрев в открытом судебном заседании гражданское дело по иску ФИО1 к ООО «Яндекс.Еда» о защите прав потребителя,

установил:

ФИО1 обратилась в суд с иском к ООО «Яндекс.Еда», в котором просит взыскать 100000 рублей- компенсацию морального вреда.

В обоснование указано, 23.03.2022 персональные данные истицы, которые она предоставляла при использовании сервиса Яедекс.Еда были опубликованы на сайте в открытом доступе <данные изъяты>. На сайте был опубликован личный номер телевона истицы, ей стали поступать звонки и смс с различных номеров, в том числе с Украины с разными предложениями и оскорблениями. Постановлением мирового судьи судебного участка 101 Московского округа дело №5-413/2022 ответчик был признан виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ. Судом установлено, что у ответчика имелась реальная возможность обеспечить выполнение требований действующего законодательства. Однако, в результате недобросовестных действий сотрудника ответчика в сеть попала база заказов, содержащая данные о пользователях и заказах. Сам факт утечки персональных данных пользователей сервиса ответчика является обработкой персональных данных.

В судебном заседании истица и ее представитель иск поддержали.

Представитель ответчика возражал против удовлетворения иска указывая, исходя из существа заявленных требований в предмет доказывания по делу входят следующие обстоятельства: факт распространения персональных данных истца, предоставленных им ответчику, факт нарушения ответчиком прав истца и правил обработки персональных данных, факт причинения истцу нравственных (или физических) страданий незаконными действиями (бездействием) ответчика, наличие и степень вины ответчика в причинении вреда истцу, причинно-следственная связь между действиями (бездействием) ответчика и причиненным истцу вредом. Ни одно из указанных обстоятельств не доказано, в с вязи с чем исковые требования не подлежат удовлетворению. Отсутствуют надлежащие доказательства распространения персональных данных истца. Исковые требования основаны на голословных утверждениях о том, что на Сайте были опубликованы (распространены) сведения об истце. Истец не представил доказательств наличия правоотношений между истцом и ответчиком, факт передачи истцом его персональных данных ответчику, объем и состав этих данных, факт утечки персональных данных истца из базы ответчика и состав этих данных, факт распространения данных истца на Сайте, состав данных, принадлежность данных, опубликованных на Сайте к базе данных ответчика. Отсутствуют какие-либо доказательства незаконного распространения персональных данных истца, переданных ответчику. Истец не доказал, что является пользователем сервиса Яндекс.Еда. Истец не подтвердил, что передавал какие-либо персональные данные ответчику и не подтвердил состав таких данных. Истец не представил доказательств того, что его персональные данные были опубликованы на Сайте и какие именно данные были опубликованы. Отсутствуют доказательства того, что информация на Сайте, на который ссылается истец, имеет какое-либо отношение к ответчику. Связь между ответчиком и Сайтом отсутствует. Ответчик не является владельцем или администратором Сайта и не несет ответственности за его содержание. В подобных случаях ответственность за распространение персональных данных несет администратор сайта, на котором данные были опубликованы в отсутствие согласия субъектов. Ответчик не являлся и не является администратором Сайта, а также не имеет к нему какого-либо иного отношения, в связи с чем не может подлежать ответственности за распространение на Сайте каких-либо данных третьими лицами. Данные об администраторе отображаются когда администратором является юридическое лицо, так как раскрытие данных юридического лица не регулируется законодательством о персональных данных ни в России, на в других странах. Таким образом, если бы ответчик был администратором Сайта, эти сведения являлись бы общедоступными. Местом регистрации администратора Сайта является гор. Краков (Польша), в том время как ответчик зарегистрирован в гор. Москва. Таким образом связь между ответчиком и информацией на Сайте отсутствует. Отсутствуют доказательства того, что информация от истца, размещенная на Сайте, была получена из базы данных ответчика. Согласно общеизвестной инстанции в последнее время участились случаи взлома Интернет-ресурсов и баз данных, например: в марте 2022 года были взломаны официальные сайты российских государственных органов (ФАС, Роскомнадзора и других); в марте 2022 года в результате взлома на сайтах арбитражных судов была изменена информация; в апреле 2022 года почтовый архив Министерства культуры РФ был выложен в открытый доступ; в феврале 2022 была взломана и скопирована база данных пользователей приложения ТЦ «Мегаполис», в феврале 2022 года была взломана и скопирована база данных пользователей компании СДЭК, в 2019-2020 годах в Интернете были размещены данные клиентов ряда крупнейших кредитных организаций (Альфа-банк, Сбербанк), в августе 2019 года в сети были выложены персональные данных из данных РЖД, в августе 2021 года в открытый доступ попали отсканированные копии паспортов клиентов Орифлейм, в сентябре 2021 года в свободном доступе оказались персональные данные абонентов домашнего интернета Вымпелком и т.д. 18.05.2022 в сети появилась информация о новой версии Сайта, дополненной данными из ГИБДД, СДЭК, ВТБ и других источников, согласно которым сайт был дополнен информацией о ФИО, адресах регистрации, регистрационных и VIN номерах автомобилей и другой информацией. Каких-либо доказательств, подтверждающих получение злоумышленниками для публикации на Сайте информации именно из баз данных ответчика, а не из какого-либо другого источника из числа многочисленных взломанных баз данных, не представлено. Истец не доказал факт нарушения ответчиком законодательства при обработке персональных данных истца. Ответчик не передавал и не распространял персональные данные истца. Ответчиком были предприняты все необходимые меры по обеспечению безопасности данных пользователей в связи с чем в действиях ответчика отсутствует нарушение ст. 19 Закона о персональных данных. Ответчик не передавал и не распространял персональные данные истца. Ответчик никогда не передавал информацию в отношении истца какому-либо третьему лицу с целью размещения как на Сайте, так и на любом другом веб-сайте. Ответчик никогда не распространял информацию в отношении истца, то есть не совершал действия, направленные на раскрытие сведений об истце неопределенному кругу лиц. Истец не предоставил каких-либо доказательств, подтверждающих, что ответчик передал и/или распространил информацию в отношении истца. Все утверждения истца о том, что ответчик передал и/или распространил персональные данные, не соответствуют действительности. Действиям по несанкционированному доступу к базе данных Яндекс.Еды, а также действия по дальнейшему распространению полученной информации на Сайте и иных ресурсах не могут быть отнесены к действиям ответчика, поскольку являются злоумышленными действиями третьих лиц, личность которых в настоящий момент устанавливается. В результате внутреннего расследования ответчика было установлено, что неправомерный доступ к данным был осуществлен неустановленными лицами с зарубежного IP-адреса (г.Варшава, Польша) через сетевые ресурсы, находящиеся вне контура инфраструктуры ответчика, то есть произошел взлом системы. Ответчик незамедлительно передал информацию о факте незаконного доступа (взлома) в правоохранительные органы путем электронного обращения в МВД России от 28.02.2022. По результатам проверки Следственным комитетом РФ было возбуждено уголовное дело по ч.1 ст. 137, ч.3 ст. 272, ч.2 ст.273 УК РФ нарушение неприкосновенности частной жизни, неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных компьютерных программ. 12.08.2022 ответчик был признан потерпевшим по возбужденному уголовному делу. В постановлении о признании ответчика потерпевшим указано, что неустановленные лица, действуя группой лиц по предварительному сговору, используя технические устройства с доступом в информационно-телекоммуникационную сеть Интернет и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершил DDos-атаки на сервис «Яндекс.Еда». Установлено, что в этот же день неустановленные лица распространили в информационно-телекоммуникационной сети Интернет на странице, расположенной по веб адресу: https://saverudata.org/map незаконно полученные в результате DDos-атак сведения о частной жизни пользователей сервиса «Яндекс.Еда». Незамедлительно после получения информации о взломе ответчик также предпринял все возможные действия по обеспечению ограничения доступа к соответствующим данным, сразу сообщив в Роскомнадзор о факте публикации данных на Сайте и других ресурсах, после чего соответствующие ресурсы были заблокированы по решению суда. Истец ссылается на Постановление мирового судьи судебного участка 101 Московского округа по делу №5-413/2022 о привлечении ответчика к ответственности по ч.1 ст.13.11 КоАП РФ как на доказательство факта публикации его данных на Сайте. Указанное постановление было вынесено до признания ответчика потерпевшим по уголовному делу, возбужденному по факту взлома базы данных по заявлению ответчика, в рамках которого было установлено, что взлом был произведен неустановленными злоумышленниками, а не сотрудниками ответчика. Указанное постановление не содержит никаких выводов в отношении истца и его персональных данных и никак не подтверждает «факт опубликования» ответчиком в сети Интернет данных истца. Ответчик не осуществлял каких-либо действий по передаче или распространению персональных данных истца посредством Сайта и других сторонних ресурсов, в связи с чем не осуществлял обработку персональных данных в отсутствие правовых оснований. Ответчик предпринял все доступные и разумные меры для пресечения распространения и продолжения действий по неправомерному доступу к данным. В действиях ответчика отсутствует нарушение ст.7 Закона о персональных данных о распространении персональных данных. Ответчик до и после утечки добросовестно предпринимал все возможные меры по обеспечению сохранности данных пользователей «Яндекс. Еда» в соответствии со ст.19 Закона о персональных данных. Предпринял все меры, перечисленные в ч.2 ст. 19 Закона о персональных данных. После обнаружения факта утечки ответчик предпринял следующие меры: провел внутреннее расследование, пересмотрены риски безопасности, сокращен перечень сотрудников, имеющих доступ к персональным данным пользователей сервиса, ужесточен регламент пересмотра такого перечня, сообщил в Роскомнадзор о выявлении факта неправомерного распространения данных посредством Сайта и других ресурсов и потребовал блокировки соответствующих ресурсов, ответчик обратился в МВД, ответчик выпустил пресс-релиз, в котором предупредил пользователей об утечке информации, ответчик проинформировал пользователей об утечке информации. Ответчиком были приняты все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, в связи с чем в действиях ответчика отсутствует нарушение ст. 19 Закона о персональных данных. Заявленная истцом ко взысканию сумма компенсации морального вреда в размере 50000 рублей в отсутствие реального вреда или каких-либо иных негативных последствий для истца является явно необоснованной и завышенной. Положения Закона РФ от 07.02.1992 №2300-1 « О защите прав потребителей» не регулирую возникшие спорные правоотношения. Требования истца не связаны с некачественным или неполным оказанием ответчиком услуг. Указанные истцом обстоятельства и правоотношения сторон, на которые он ссылается регулируются ФЗ от 27.07.2006 №152 «О персональных данных».

Исследовав доказательства, представленные в судебное заседание, суд приходит к следующему.

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным регулируются Федеральным закон от 27.07.2006 N 152-ФЗ "О персональных данных». Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.

В соответствии со ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» под распространением персональных данных понимаются - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

В соответствии со ст.4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

В соответствии со ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии с п.3 ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

В соответствии со ст.18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

В соответствии со ст.19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

В соответствии со ст.21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Истица, утверждая, что является потребителем услуг, оказываемых ООО «Яндекс. Еда» не представила в материалы гражданского дела доказательств, подтверждающих данное обстоятельство.

Истицей не подтвержден круг и объем принадлежащих ей персональных данных, которые ею были переданы ответчику и дату передачи таких персональных данных ответчику. Истец не доказала, что данные, ставшие доступными третьему лицу, неопределенному кругу лиц позволяют идентифицировать истицу как конкретное лицо и принадлежат истице.

Не подтвержден в судебном заседании и факт распространения, предоставления ответчиком определенному, неопределенному кругу лиц, лицу каких-либо персональных данных истицы.

Ответчиком заявлены доводы о том, что был осуществлен неправомерный доступ к данным неустановленными лицами с зарубежного IP-адреса через сетевые ресурсы, находящиеся вне контура инфраструктуры ответчика. Следственным комитетом РФ возбуждено уголовное дело.

Постановлением следователя по особо важным делам отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета Российской Федерации от 12 августа 2022 года ООО «Яндекс. Еда» признано потерпевшим по уголовному делу.

Из постановления следует, что не позднее 23.03.2022 неустановленные лица, используя технические устройства с доступом в информационно-телекоммуникационную сеть Интернет и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершили DDos-атаки на сервис «Яндекс. Еда», после чего в этот же день распространили в сети Интернет на странице, расположенной по веб-адресу: <данные изъяты> незаконно полученные сведения о частной жизни пользователей сервиса «Яндекс. Еда», доступные неопределенному кругу лиц, чем причинили вред деловой репутации ООО «Яндекс. Еда».

Ответчиком незамедлительно после выявления факта неправомерного доступа к данным проведено внутреннее служебное расследование, сделано сообщение в Роскомнадзор Российской Федерации.

Материалы гражданского дела не содержат доказательств, подтверждающих, что неправомерный доступ стал возможным в результате невыполнения ответчиком требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» в результате неправомерного бездействия либо действия ответчика.

Руководствуясь ст. ст. 194- 198 ГПК РФ, суд

решил:

Иск ФИО1 (паспорт №) к ООО «Яндекс. Еда» (ОГРН <***>) о взыскании 100000 рублей- компенсации морального вреда оставить без удовлетворения.

Решение может быть обжаловано в судебную коллегию по гражданским делам Белгородского областного суда в течение месяца со дня принятия решения суда в окончательной форме путем подачи апелляционной жалобы через Октябрьский районный суд г.Белгорода.

Судья

Мотивированное решение суда изготовлено 14 марта 2023 года