Дело № 5-883/2023
ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
(резолютивная часть постановления оглашена 28 ноября 2023 года)
(мотивированное постановление изготовлено 01 декабря 2023 года)
01 декабря 2023 года город Москва
Мировой судья судебного участка № 311 Останкинского района города Москвы Ларина А.Д., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении
Общества с ограниченной ответственностью «***», ОГРН ***, ИНН ***, дата регистрации *** г., юридический адрес: ***, сведений о привлечении к административной ответственности за совершение однородных административных правонарушений материалы дела не содержат,
УСТАНОВИЛ:
ООО «***» совершило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 статьи 13.11 и статьей 17.13 КоАП РФ, при этом эти действия не содержат уголовно наказуемого деяния.
Так, в ходе мониторинга сети «Интернет» по адресам: https://t.me/niceleakbro/78, https://gofile.io/d/1rQW7k, должностными лицами Роскомнадзора выявлен факт наличия базы данных (87 000 строк) ООО «***», содержащей персональные данные пользователей оператора (адрес электронной почты, никнейм, хэш (зашифрованный набор данных о пароле), город, район проживания.
Таким образом, ООО «***», расположенное по адресу: <...>, ком. 705, пом. I, 7 этаж, являясь оператором, осуществляющим обработку персональных данных, совершило административное правонарушение, предусмотренное ч. 1 ст. 13.11 КоАП РФ.
Защитник ООО «***» - Монаков П.А. в судебное заседание явился, вину ООО «***» в совершении инкриминируемого ему административного правонарушения не признал, просил прекратить производство по делу, указав, что возможное наличие где-то в сети «Интернет» некой базы данных оператора стало результатом хакерской атаки и не связано с халатностью либо умышленными действиями сотрудников ООО «***». ООО «***» не предоставляло кому-либо доступ к своей базе данных пользователей сайта, каких-либо активных или пассивных действий со стороны издательства либо фактов непринятия издательством установленных законом обязательных мер и/или непринятия им соответствующих технических средств Роскомнадзором не установлено. При этом в обоснование вины ООО «***» должностные лица Управления Роскомнадзора по ЦФО ссылаются на файл «ast.ru», который был направлен в адрес ООО «Издательства АСТ» в формате, допускающем его редактирование, без какой-либо электронной подписи, в связи с чем данный файл нельзя признать документом по смыслу ст. 26.7 КоАП РФ. При этом из свойств указанного файла следует, что его автором является некий ФИО1, файл изменялся некой ФИО2, а сам файл редактировался почти трое суток с 15 час. 24 мин. 16.06.2023 г. до 12 час. 28 мин. 19.06.2023 г., в связи с чем имеются сомнения в достоверности данного файла. Кроме того, данный файл представлен в материалы дела в форме 12 снимков экрана в масштабе, не позволяющем их анализировать каким-либо образом, в связи с чем сам по себе факт размещения в сети «Интернет» по адресам: https://t.me/niceleakbro/78, https://gofile.io/d/1rQW7k персональных данных пользователей не доказан. Кроме того, объем информации, которая была указана в представленном Роскомнадзором файле, не дает оснований считать указанную информацию персональными данными, позволяющими однозначно определить личность гражданина, поскольку электронная почта при регистрации может быть полностью вымышлена пользователем, никнейм пользователя часто не связан с адресом электронной почты либо представляет собой обезличенный адрес электронной почты, иногда город (район) проживания, указанные пользователем, является вымышленным, а хэш представляет собой набор случайных символов, которые генерируется на основе текстового пароля с помощью специального алгоритма хэширования, при этом хэширование пароля позволяет защитить пароль от чтения злоумышленниками, так как обратить хэш обратно в исходный пароль невозможно, а алгоритм хэширования злоумышленникам неизвестен, какой-либо платежной информации, информации, позволяющей однозначно определить личность пользователя сайта ast.ru, не имеется. Таким образом, объем информации, имеющейся в базе данных пользователей сайта, определяется самими пользователями сайта, а сами по себе вышеуказанные сведения не позволяют идентифицировать конкретного пользователя по предоставленной им самим информации.
Несмотря на непризнание ООО «***» вины, факт совершения административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ и вина ООО «***» в его совершении подтверждены совокупностью доказательств, достоверность и допустимость которых сомнений не вызывают, а именно:
- протоколом об административном правонарушении, в котором изложено существо правонарушения;
- письмом начальника Управления по защите прав субъектов персональных данных Роскомнадзора ФИО3 от 24.08.2023 № 08-72528, из содержания которого следует, что в ходе мониторинга сети Интернет выявлен факт распространения базы данных (87 000 строк), содержащей персональные данные клиентов ООО «***» (скриншоты прилагаются). В результате анализа фрагмента базы данных установлено, что указанная база данных содержит следующие персональные данные клиентов ООО «***»: фамилия, имя, отчество, номер телефона, адрес электронной почты, пол, город, дата рождения. В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от 27.07.2006 года № 152-Фз «О персональных данных» поступило уведомление ООО «***» о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно представленной ООО «***» информации датой выявления инцидента является 22.06.2023 г. Таким образом, ООО «***» подтвержден факт неправомерного доступа к базе данных, содержащей персональные данные клиентов ООО «***». В связи с чем в действиях ООО «***» содержатся признаки административного правонарушения, ответственность за которое предусмотрена ч. 1 ст. 13.11 КоАП РФ. Ссылаясь на указанные обстоятельства, начальник Управления по защите прав субъектов персональных данных Роскомнадзора просил рассмотреть направляемые материалы в порядке, установленном ст. 28.1 КоАП РФ;
- уведомлением о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 23.06.2023 № 6090514;
- уведомлением о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 23.06.2023 № 6091289;
- снимками экрана базы данных, расположенной в сети «Интернет», содержащей персональные данные пользователей оператора;
- выпиской из ЕГРЮЛ;
- показаниями допрошенной в ходе рассмотрения дела в качестве свидетеля начальника отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по ЦФО ФИО4, которая показала, что в Управление Роскомнадзора по ЦФО из Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций поступило поручение начальника Управления по защите прав субъектов персональных данных Роскомнадзора ФИО3 от 24.08.2023 № 08-72528 о принятии мер реагирования в порядке, установленном ст. 28.1 КоАП РФ. Указанное поручение было направлено в Управление Роскомнадзора по ЦФО по результатам проведенного должностными лицами Роскомнадзора мониторинга, в ходе проведения которого в сети «Интернет» выявлено наличие базы данных ООО «***». Также к вышеуказанному поручению были приложены уведомления об утечке информации из базы данных ООО «***» и файл в формате Word, содержащий фрагмент вышеуказанной базы данных, созданный в результате создания скриншотов информации, находящейся в открытом доступе в сети «Интернет». Все вышеперечисленные данные поступили в распоряжение Управления Роскомнадзора по ЦФО посредством электронного документооборота. Какие-либо контрольно-надзорные мероприятия ФИО4 (свидетель) лично не проводила и не перепроверяла представленные из Роскомнадзора данные со сведениями, содержащимися в открытом доступе в сети «Интернет», поскольку выявление базы данных ООО «***» в сети Интернет было установлено уполномоченными должностными лицами центрального аппарата Роскомнадзора по результатам проведенного ими мониторинга и ставить под сомнение достоверность таких сведений у ФИО4 оснований не имелось. Какое-либо редактирование фрагмента базы данных, поступившей в Управление Роскомнадзора по ЦФО в формате Word свидетелем не производилось, содержимое данного файла было распечатано и приобщено к материалам настоящего дела об административном правонарушении. В полном объеме изучив поступивший из Роскомнадзора фрагмент базы ООО «***», скриншоты которой представлены в материалы дела, а также изучив содержание уведомлений о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, ФИО4 пришла к выводу о наличии в действиях ООО «***» состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, поскольку в данном случае установлен факт неправомерного доступа к базе данных, содержащей персональные данные пользователей оператора - ООО «***», что было также подтверждено самим оператором. Протокол об административном правонарушении был составлен в отношении ООО «***» в присутствии защитника юридического лица, которому в полном объеме были разъяснены его права и обязанности, предусмотренные ст. 51 Конституции РФ, ст. 25.1, 25.5 КоАП РФ, с протоколом об административном правонарушении защитник ООО «***» был ознакомлен, копию протокола получил. Никакого психологического либо морального давления на защитника ООО «***» при составлении протокола об административном правонарушении ФИО4 (свидетелем) оказано не было.
У мирового судьи нет оснований не доверять показаниям вышеуказанного лица, поскольку они последовательны, перед допросом вышеуказанное лицо было предупреждено об ответственности за дачу заведомо ложных показаний, при этом, его показания согласуются между собой и с другими доказательствами. Каких-либо противоречий, которые могли бы повлиять на выводы мирового судьи, в показаниях этого лица не имеется. Также в данном случае мировой судья не находит каких-либо существенных обстоятельств, которые могли бы опорочить показания свидетеля, содержание которых изложено выше.
Достоверность и допустимость вышеуказанных доказательств у мирового судьи сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой, получены в соответствии с требованиями Кодекса РФ об административных правонарушениях и объективно фиксируют фактические данные по делу. Протокол по делу об административном правонарушении составлен в соответствии с требованиями Кодекса РФ об административных правонарушениях, права юридического лица соблюдены.
Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.
Положениями ст. 23 Конституции РФ предусмотрено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч. 1 ст. 24 Конституции РФ не допускается.
Согласно п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии со ст. 7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статье 10.1 Закона о персональных данных.
Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Вместе с тем подтверждения наличия вышеуказанных правовых оснований распространения персональных данных пользователей ООО «***» не предоставлено.
Таким образом, неисполнение ООО «***», являющимся оператором, осуществляющим обработку персональных данных, возложенных на него требований законодательства в области персональных данных, свидетельствуют о пренебрежительном отношении ООО «***» к возложенным на него публично-правовым обязанностям, посягающим на общественные отношения, связанные с использованием персональных данных, эффективное и правильное обеспечение защиты которых возможно только при выполнении требований законодательства в области персональных данных, и как следствие, правильной организации работы оператора.
Принадлежность указанных в протоколе об административном правонарушении данных пользователей, в частности адресов электронной почты, к персональным данным подтверждается и законодательством в сфере персональных данных, а также принятыми в соответствии с ним подзаконными актами, разъяснениями уполномоченных органов. Так, согласно пункту 1 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В соответствии с постановлением Правительства Российской Федерации от 13.09.2019 г. № 1197 адрес электронной почты включен в состав сведений, размещаемых в единой информационной системе персональных данных. В письме Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17.03.2022 г. № П25-5623 «О возможности отнесения адреса электронной почты к персональным данным» указано, что адрес электронной почты может быть признан персональными данными.
Учитывая изложенное, довод защитника ООО «***» о том, что адрес электронной почты, никнейм, хэш, город и район проживания пользователей не относятся к персональным данным, отклоняется мировым судьей.
Доводы защитника ООО «***» о том, что предполагаемая база данных оператора стала доступна в сети «Интернет» ввиду противоправной деятельности иных лиц, не являются основанием для освобождения ООО «***» от административной ответственности. Вышеуказанные нарушения возникли из-за выявленных Роскомнадзором недостатков в деятельности ООО «***» в сфере обработки персональных данных физических лиц, являющихся пользователями указанного оператора. В соответствии с со ст. 7 Закона о персональных данных общество, являясь оператором, осуществляющим обработку персональных данных пользователей, несет ответственность перед пользователями, как субъектами персональных данных. Противоправная деятельность неустановленных лиц, следствием которой явилось распространение персональных данных пользователей, в данном случае не освобождает ООО «***» от обязанности принять меры, направленные на устранение выявленных нарушений.
Вопреки доводам защитника ООО «***» представленные Роскомнадзором сведения о базе данных ООО «***» получены по результатам осуществления мониторинга в сети Интернет. Оснований не доверять указанным сведениям у судьи не имеется, поскольку они получены и представлены в распоряжение должностных лиц Управления Роскомнадзора по ЦФО уполномоченными должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, которая является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
Отсутствие в распечатке с выявленной базой данных каких-либо подписей должностных лиц обусловлено передачей данных документов в Управление Роскомнадзора по ЦФО посредством электронного документооборота, при этом данное обстоятельство не свидетельствует о невозможности использования данных сведений в качестве доказательства по делу, поскольку данная распечатка с базой данных является приложением к письму начальника Управления по защите прав субъектов персональных данных Роскомнадзора ФИО3 от 24.08.2023 № 08-72528, подписанному электронной подписью указанного должностного лица административного органа.
Каких-либо доказательств, свидетельствующих о фальсификации такого доказательства по делу, как скриншотов базы данных ООО «***» в сети «Интернет», защитником ООО «***» не представлено, а судьей не добыто, при этом само по себе создание такого файла в формате Word одним лицом и последующее внесение в свойства указанного файла сведений о его редакции о фальсификации указанного доказательства не свидетельствует, поскольку в данном случае в материалах дела содержатся не распечатки с сайтов в сети «Интернет», а скриншоты страниц с выявленной информацией, сохранные в текстовом документе в формате Word, что обусловлено свойствами и объемом выявленной информации.
Сведений о какой-либо заинтересованности должностных лиц административного органа в исходе данного дела, их небеспристрастности к ООО «***» или допущенных злоупотреблениях по делу не установлено, оснований ставить под сомнение достоверность фактических данных, указанных должностными лицами в составленных им документах, не имеется.
Оценив все доказательства в их совокупности по правилам ст. 26.11 Кодекса Российской Федерации об административных правонарушениях мировой судья приходит к выводу, что вина ООО «***» в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, установлена и полностью доказана.
При назначении административного наказания судья учитывает конкретные обстоятельства дела, характер и степень общественной опасности правонарушения, данные о юридическом лице, которое ранее не привлекалось к административной ответственности за совершение однородных правонарушений в течение срока, установленного в ст. 4.6 КоАП РФ, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, и считает необходимым назначить ООО «***» административное наказание в виде административного штрафа.
На основании изложенного, руководствуясь ст. 29.10 Кодекса РФ об административных правонарушениях, судья
ПОСТАНОВИЛ:
Общество с ограниченной ответственностью «***» признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях и назначить ему административное наказание в виде административного штрафа в размере 70 000 (семьдесят тысяч) рублей.
Сумму административного штрафа надлежит перечислить по следующим реквизитам: получатель платежа: Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с <***>), ИНН: <***>, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: <***>, Корреспондентский счет: 40102810545370000003, УИН: 0356140805008833112302795, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0883/311/2023, постановление от 28.11.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "***". Судебный участок № 311 тел.: <***>, +7(495)616-35-80, +7(495)609-90-74.
Разъяснить Обществу с ограниченной ответственностью «***», что в соответствии с ч. 1 ст. 32.2 Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.
В соответствии с ч. 5 ст. 32.2 Кодекса РФ об административных правонарушениях документ, свидетельствующий об уплате административного штрафа, лицо, привлеченное к административной ответственности, направляет судье, вынесшему постановление (лично, посредством почтовой связи или по электронной почте mirsud311@ums-mos.ru с указанием номера дела № 5-883/2023).
При отсутствии документа, свидетельствующего об уплате административного штрафа, и информации об уплате административного штрафа в Государственной информационной системе о государственных и муниципальных платежах, штраф взыскивается принудительно, а лицо, не уплатившее штраф, может быть привлечено к административной ответственности по ч. 1 ст. 20.25 Кодекса РФ об административных правонарушениях.
Постановление в соответствии со ст. 30.1-30.3 Кодекса РФ об административных правонарушениях может быть обжаловано в Останкинский районный суд г. Москвы через мирового судью в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья Ларина А.Д.