Постановление по делу № 05-2076/111/2023 от 21.12.2023 - По статье 13.11 КоАП РФ.

Дело № 5-2076/2023

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

резолютивная часть постановления оглашена дата

мотивированное постановление изготовлено дата

дата адрес

Мировой судья судебного участка № 109 адрес фио, и.о. мирового судьи судебного участка № 111 адрес, рассмотрев в открытом судебном заседании дело об административном правонарушении в отношении юридического лица

наименование организации, ИНН: телефон, ОГРН: <***>, юридический адрес: адрес, сведений о привлечении ранее к административной ответственности за совершение однородных правонарушений представленные материалы не содержат,

привлекаемого к административной ответственности за совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях,

установил:

дата в 21-00 по адресу: адрес, ЭТАЖ/ПОМЕЩ./ЧАСТЬ КОМ. 6/XLII/14 наименование организации осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, совершив тем самым административное правонарушение, ответственность за которое предусмотрена ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Роскомнадзором в ходе мониторинга электронных средств массовой информации на интернет-ресурсе: https://t.me/itarmyofukraine2022/1285, https://anonfiles.com/Z6z9V0ubze/russian_standard_insurance_zip, https://fex.net/s/myfolk2, https://mega.nz/file/ZSUilabB#Ok-BaP_I0pVOzGjbiw2Nxowg4xqGFkqVoW2hImxBERQ, выявлен факт наличия базы данных (примерное количество записей 322) наименование организации, содержащей персональные данные клиентов оператора, в объеме: ФИО (на русском, латинском), паспортные данные: серия и номер, дата выдачи, кем выдан (РФ, другие страны); адрес регистрации, адрес проживания, мобильный номер телефона; адрес электронной почты.

В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от дата N 152-ФЗ "О персональных данных" поступили уведомления оператора от дата №6090077 и от дата № 6091035 о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно уведомлению о факте неправомерной или случайной передачи персональных данных оператора причиной, повлекшей нарушение прав субъектов персональных данных, является неправомерный доступ третьих лиц к информационной системе наименование организации, содержащей персональные данные субъектов персональных данных, а именно хакерская атака.

Таким образом, наименование организации допущено нарушение требований ч. 1 ст. 6 ФЗ от дата N 152-ФЗ "О персональных данных" в части предоставления наименование организации неправомерного доступа к базе данных, содержащей персональные данные субъектов персональных данных клиентов организации.

Представитель Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу фио в судебное заседание явился, обстоятельства, изложенные в протоколе об административном правонарушении подтвердил, просил привлечь наименование организации к административной отвественности.

Защитники наименование организации по доверенности фио и фио в судебное заседание явились, вину юридического лица в совершении административного правонарушения не признали, пояснили, что действия по передаче персональных данных третьим лицам наименование организации совершены не были. Доступ к базе данных, содержащей персональные данные клиентов - был осуществлен третьими лицами незаконно, путем хакерской атаки. Также пояснили, что с момента инцидента прошло уже больше 5 (пяти) месяцев, за этот период в наименование организации не поступали жалобы от клиентов страховщика относительно неправомерной передачи их персональных данных третьим лицам, отсутствуют претензии и иски заинтересованных лиц, со стороны организации были предприняты все меры, необходимые для обеспечения выполнения обязанностей, предусмотренных ФЗ от дата №152 -ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. С учетом изложенного полагали, что в деле отсутствует состав административного правонарушения, представили письменные пояснения по делу, просят производство по делу об административном правонарушении прекратить.

Суд, выслушав защитников наименование организации, представителя Роскомнадзора, исследовав письменные материалы дела, приходит к выводу о том, что вина наименование организации в совершении ими правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно:

- протоколом N АП-77/09/1310 об административном правонарушении от дата, отражающим факт и событие административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ (л.д. 1-6);

- уведомлением N телефон от дата (л.д. 9);

- уведомлением N телефон от дата (л.д. 10-11);

- скриншотами с рабочего стола, представленными на бумажном носителе (л.д. -11-34).

Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.

Ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

В соответствии с п. 1 ст. 3 Федерального закона от дата N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 2 ст. 3 Федерального закона от дата N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 3 ст. 3 Федерального закона от дата N 152-ФЗ "О персональных данных" обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ч. 1 ст. 6 Федерального закона от дата N 152-ФЗ "О персональных данных" обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Как установлено судом и следует из материалов дела, в Роскомнадзор от наименование организации поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, уведомлением N телефон от дата, уведомлением N телефон от дата

Согласно уведомлению о факте неправомерной или случайной передачи персональных данных от дата N телефон наименование организации по результатам предварительного внутреннего расследования установлено, что причиной инцидента является хакерская атака.

Таким образом, сам факт утечки персональных данных пользователей сервиса наименование организации является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Объективная сторона правонарушений по ч. 1 ст. 13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

С учетом изложенных обстоятельств, доводы защитников наименование организации об отсутствии вины наименование организации в передаче данных пользователей, отсутствия наступивших последствий, причинения вреда субъектам персональных данных клиентов страховщика, отсутствии состава и события правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц, что не исключается привлечение юридического лица к административной ответственности по ч. 1 ст. 13.11 КоАП РФ.

В силу части 2 статьи 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Надлежащих доказательств, что наименование организации были приняты все зависящие от него меры по соблюдению требований законодательства в области защиты персональных данных до момента выявления факта наличия базы данных наименование организации, содержащей персональные данные клиентов оператора, суду не представлено.

Таким образом, наименование организации, имея возможность для соблюдения правил и норм, за нарушение которых Кодексом Российской Федерации об административных правонарушениях предусмотрена административная ответственность, не приняло все зависящие от него меры по их соблюдению, в связи с чем данное деяние необходимо квалифицировать по части 1 статьей 13.11 КоАП РФ.

В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.

Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания наименование организации виновным в совершении административного правонарушения, а действия наименование организации квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

Оснований для освобождения от административной ответственности, применения положений ст. 2.9 КоАП РФ, а также переквалификации действий наименование организации суд не усматривает.

Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.

Обстоятельств, смягчающих и отягчающих административную ответственность наименование организации, судом не установлено.

При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность наименование организации обстоятельств, и считает необходимым назначить наименование организации наказание в виде административного штрафа.

На основании вышеизложенного, руководствуясь статьями 29.9 - 29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

постановил:

Признать наименование организации виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере сумма.

Штраф подлежит перечислению по реквизитам:

Получатель платежаПолучатель УФК по адрес (Департамент по обеспечению деятельности мировых судей адрес л/с <***>)

ИНН<***>

КПП770401001

Расчетный счет03100643000000017300

Корреспондентский счёт40102810545370000003

Банк получателя платежаГУ Банка России по ЦФО//УФК по адрес адрес

БИК004525988

ОКТМО45374000

КБК80511601133010000140

УИН0356140805020761112303215

Назначение платежаШтраф. Номер дела 05-2076/111/2023, постановление от дата по Ст. 13.11, Ч.1 КоАП РФ в отношении наименование организации. адрес № 111 тел.: телефон, телефон-90

Документ об оплате административного штрафа необходимо предоставить в судебный участок № 111 адрес (лично или по электронной почте mirsud111@ums-mos.ru) как документ, подтверждающий исполнение судебного постановления.

Разъяснить, что в соответствии с ч. 1 ст. 32.2 Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу. В соответствии с ч. 5 ст. 32.2 Кодекса РФ об административных правонарушениях копию документа, свидетельствующего об уплате административного штрафа, лицо, привлеченное к административной ответственности, направляет судье, вынесшему постановление. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 Кодекса РФ об административных правонарушениях.

Постановление в соответствии со ст.ст. 30.1 – 30.3 Кодекса РФ об административных правонарушениях может быть обжаловано в Преображенский районный суд адрес через мирового судью в течение 10 суток со дня вручения или получения копии постановления.

Мировой судья фио