№ 5-781/2023
УИД 77MS0292-01-2023-003692-35
ПОСТАНОВЛЕНИЕ
г. Москва 31 октября 2023 года
Мировой судья судебного участка № 292 района Перово г. Москвы Метельцева И.А., рассмотрев материалы дела об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ, в отношении
ГБУЗ «Московский клинический научно-практический центр им. А.С. Логинова» ДЗМ, ИНН ***, ОГРН ***, находящегося по адресу: ***, сведения о привлечении ранее к административной ответственности в материалах дела отсутствуют,
УСТАНОВИЛ:
ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при следующих обстоятельствах.
Так, Роскомнадзором в ходе мониторинга сети «Интернет» по адресу: ***, выявлен факт наличия базы данных интернет-ресурса *** (238 000 строк), оператором которого является ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ, содержащей персональные данные пользователей интернет-ресурса Оператора, в объеме: ФИО, номер телефона, дата рождения, адрес, номер полиса ОМС.
В Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) поступили уведомления Оператора от 18.07.2023 № 6114070 и от 19.07.2023 № 6114628 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - Уведомление о факте неправомерной или случайной передачи персональных данных).
Согласно Уведомлениям о факте неправомерной или случайной передачи персональных данных Оператора в
В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В связи с чем, содержание скомпрометированной базы данных относится к персональным данным клиентов Оператора. Телеграмм канале Cyber Legions была опубликована информация о продаже базы из 238 тысяч строк.
По смыслу пункта 1 статьи 3 Закона о персональных данных ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.
Принимая во внимание, что Оператором подтвержден факт неправомерного доступа к базе данных, содержащей персональные данные клиентов Оператора, в действиях Оператора усматривается состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
В судебном заседании представитель ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ ФИО1 вину не признал, представил письменные возражения на протокол об административном правонарушении, пояснил, что считает, что отсутствует событие административного правонарушения, а также и состав. Т.к. не установлено лицо, которое распространило такие сведения в Телеграмм канале. Неизвестно, как и к кому попали данные, не установлены все существенные обстоятельства дела. Пояснил, что Оператор сам указывает в уведомлении, что хакерская атака не подтверждена. Просил производство по делу прекратить, однако в случае, если суд усмотрит нарушение, то по возможности ограничиться предупреждением.
Представитель Роскомнадзора – ФИО2 в судебное заседание явился, подтвердил обстоятельства, изложенные в протоколе об административных правонарушениях, указал, что считает, что требования обоснованы, т.к. Оператор при виде в Телеграмм-канале или заподозрив хакерскую атаку, обязан подать два уведомления. ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ подал два уведомления, указав, что не усмотрели хакерскую атаку. В скриншотах, находящих в материалах дела видно, что есть данные непосредственно сотрудников (238 строк), где указаны ФИО, дата рождения, адрес, телефон, номер полиса. Считает, что вина ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ доказана и настаивает на наказании.
Суд, заслушав представителя ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ - ФИО1, представителя Роскомнадзора – ФИО2, исследовав письменные материалы дела, приходит к выводу об установлении и доказанности вины ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ в совершенном правонарушении, предусмотренном ст. 19.29 КоАП РФ.
Факт совершения ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ данного правонарушения подтверждается представленными суду доказательствами:
- протоколом об административном правонарушении от 25 сентября 2023 года № АП-77/09/1232, в котором отражены обстоятельства совершенного ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ правонарушения;
- копиями уведомлений;
- скриншотами;
- выпиской из ЕГРЮЛ;
и другими материалами дела.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных".
Вышеуказанные доказательства вины ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ достаточны, последовательны, непротиворечивы, составлены уполномоченным лицом в соответствии с требованиями норм действующего законодательства, у суда не имеется оснований им не доверять.
Из ч. 1 ст. 24 Конституции Российской Федерации следует, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В силу ст. 3 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных" в целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
В связи с чем, содержание скомпрометированной базы данных относится к персональным данным работников и представителей контрагентов Оператора.
По смыслу пункта 1 статьи 3 Закона о персональных данных ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.
Согласно пункту 3 статьи 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2 - 11 части 1 статьи 6 Закона о персональных данных.
Более того, оператор обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям статьи 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статьей 10.1 Закона о персональных данных.
Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".
В соответствии с частью 5 статьи 6 Закона о персональных данных в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
На основании изложенного в действиях Оператора выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные пользователей, представителей контрагентов и партнеров Оператора, повлекшего за собой распространение персональных данных пользователей интернет-ресурса Оператора неограниченному кругу лиц.
В соответствии с п. 1 ч. 3.5 ст. 28.1 КоАП РФ, без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом орган, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, может возбуждать дела об административных правонарушениях, предусмотренных ч.ч. 1 - 2.1 и 4 ст. 13.11 (в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения).
Частью 1 ст. 13.11 КоАП РФ предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.
Выявленное правонарушение не подпадает под действие положений части 2 статьи 13.11 КоАП РФ, так как обработка персональных данных работников и представителей контрагентов Оператора не требует согласия в письменной форме в соответствии с законодательством Российской Федерации.
Действия Оператора в указанном случае не содержат в себе признаков уголовно-наказуемого деяния, а также не содержат в себе состав административного правонарушения по ст. 17.13 КоАП РФ.
При таких обстоятельствах, мировой судья приходит к выводу о том, что юридическое лицо ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ допустило неправомерный доступ к базе данных, содержащей персональные данные пользователей ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ, повлекшего за собой распространение персональных данных пользователей ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ неограниченному кругу лиц, в связи с чем, действия юридического лица подлежат квалификации по ч. 1 ст. 13.11 КоАП РФ.
Обстоятельств, освобождающих ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ от административной ответственности или влекущих безусловное прекращение производства по настоящему делу - не установлено. Срок давности привлечения к административной ответственности, в соответствии со ст. 4.5 КоАП РФ, не истек. При назначении административного наказания суд учитывает характер, степень опасности совершенного административного правонарушения, обстоятельств, отягчающих административную ответственность, судом не установлено. К смягчающим обстоятельствам суд относит тот факт, что ранее за подобные нарушение Учреждение не привлекалось.
Согласно ч. 1 ст. 4.1.1 КоАП РФ являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II названного Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 названного Кодекса, за исключением случаев, предусмотренных частью 2 названной статьи. В соответствии с ч. 2 ст. 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.
Таким образом, суд приходит к выводу, что в данном конкретном случае имеются все основания для применения положений ч. 1 ст. 4.1.1 КоАП РФ и назначении ГБУЗ «МКНЦ им. А.С. Логинова» ДЗМ административного наказания в виде предупреждения
На основании изложенного, руководствуясь ст. ст. 29.9 - 29.11 Кодекса РФ об административных правонарушениях, суд
ПОСТАНОВИЛ:
Признать ГБУЗ «Московский клинический научно-практический центр им. А.С. Логинова» ДЗМ, ИНН ***, ОГРН *** виновным в совершении административного правонарушения, предусмотренного ч. 1 статьей 13.11 Кодекса Российской Федерации об административных правонарушениях и назначить ему административное наказание в виде предупреждения.
Постановление может быть обжаловано в Перовском районном суде г. Москвы через судебный участок № 292 района Перово города Москвы в течение 10 дней со дня получения копии настоящего постановления.
Мировой судья И.А. Метельцева