ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
адресдата
Резолютивная часть постановления объявлена дата.
Полный текст постановления изготовлен дата.
Мировой судья судебного участка № 54 адрес фио (адрес), исполняющий обязанности мирового судьи судебного участка № 52 адрес,
рассмотрев дело об административном правонарушении по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица –
наименование организации (ИНН: телефон, ОГРН: <***>), юридическим адресом которого является: адрес, сведения о привлечении к административной ответственности в материалах дела отсутствуют,
УСТАНОВИЛ:
Юридическое лицо - наименование организации допустило нарушение законодательства Российской Федерации в области персональных данных, а именно обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса и эти действия не содержат уголовно наказуемого деяния.
Правонарушение совершено при следующих обстоятельствах: Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга электронных средств массовой информации на интернет-ресурсах выявлен факт распространения базы данных (3 160 000 строк) наименование организации, в объеме: фамилия, имя, отчество, адрес электронной почты, номер телефона, город, место работы, адрес места работы, дата рождения, род деятельности. В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от дата N 152-ФЗ "О персональных данных" поступило письмо из наименование организации от дата N 01 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно письму о факте неправомерной или случайной передачи персональных данных дата наименование организации установлено, что неизвестная группа лиц в результате несанкционированного доступа к серверу при разработке рекламных сайтов компании, с целью компрометации деловой репутации наименование организации распространила в сети Интернет файл, содержащий персональные данные сотрудников наименование организации. По итогам расследования инцидента наименование организации установило, что один из аккаунтов публичного сайта компании (сервер не был задействован в оказании коммерческих услуг не содержали клиентских данных) был скомпрометирован в результате хакерской атаки. наименование организации является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.
В действиях наименование организации выявлено нарушение требований ч. 1 ст. 6, ст. 7 и ст. 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные работников наименование организации, повлекшего за собой распространение персональных данных работников наименование организации неограниченному кругу лиц.
Таким образом, дата наименование организации находясь по адресу: адрес, совершило административное правонарушение, предусмотренное ч. 1 ст. 13.11 КоАП РФ.
В судебное заседание явился представитель наименование организации по доверенности фио представил письменные пояснения по делу. Вину в совершении административного правонарушения не признал, пояснил, что вины Общества в распространении персональных данных нет, поскольку распространение персональных данных осуществлено третьими лицами, получивших доступ к данным в связи с произошедшей хакерской атакой. Просил производство по делу прекратить в связи с отсутствием состава административного правонарушения. На вопросы суда пояснил, что наименование организации в правоохранительные органы относительно совершения противоправных действий со стороны третьих лиц, в том числе по распространению персональных данных сотрудников наименование организации, не обращалось.
В судебном заседании представитель Управления Роскомнадзора по ЦФО по доверенности фио обстоятельства, изложенные в протоколе об административном правонарушении, поддержал в полном объеме, а также пояснил, что Оператором были переданы персональные данные по причине уязвимости сервера и допуска к нему третьих лиц; оператор должен принимать все зависящие от него меры для защиты персональных данных, чего в рассматриваемом случае сделано не было. Все элементы состава административного правонарушения в протоколе указаны верно, оснований для прекращения производства по делу не имеется.
Суд, выслушав представителей наименование организации и Управления Роскомнадзора по ЦФО, исследовав материалы дела об административном правонарушении, приходит к выводу о том, что вина наименование организации в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, подтверждается имеющимися по делу доказательствами, а именно:
- протоколом об административном правонарушении № АП-77/09/930 от дата, составленным должностным лицом Управления Роскомнадзора по Центральному федеральному округу в отношении наименование организации по ч. 1 ст. 13.11 КоАП РФ, в котором содержатся обстоятельства выявленного правонарушения совершенного наименование организации, составленного в присутствии представителя Общества фио (л.д. 1-6);
- запросом Управления Роскомнадзора по Центральному федеральному округу о предоставлении информации от дата № 08-41981, адресованного наименование организации, в соответствии с которым Управлением в ходе мониторинга сети Интернет выявлен факт распространения базы данных, содержащей персональные данные клиентов, пользователей и работников наименование организации (л.д.9-10);
- информационным письмом от дата генерального директора наименование организации, в соответствии с которым дата наименование организации установлено, что неизвестная группа лиц, в результате несанкционированного доступа к серверу по разработке рекламных сайтов компании, с целью компрометации деловой репутации наименование организации распространила в сети Интернет файл, предположительно содержащий персональные данные сотрудников наименование организации; по результату расследования установлено, что один из аккаунтов публичного сайта компании был компримирован в результате хакерской атаки; фрагмент копии данных 2019, хранящийся на виртуальном сервере рекламных сайтов попал в руки мошенников, данный фрагмент транслируется по указанным каналам; срок давности указанных данных – более трех лет, данные сотрудников не являются актуальной базой; часть данных не была верифицирована; данные не содержат сканированных паспортов, данных банковских карт и иных сведений, которые могли бы нанести вред сотрудникам компании. Также указаны меры принятые во избежание повторения инцидента: организована смена подрядчика для работы с сайтом; проведен аудит на соответствие требований информационной безопасности; организована смена паролей всех пользователей и администраторов; внедрены межсетевые экраны для предотвращения атак; введена двухфакторная авторизация (л.д.11);
- выпиской из ЕГРЮЛ в отношении наименование организации (л.д. 31-35);
- копией Устава в отношении наименование организации (л.д. 36-50);
- иными письменными доказательствами.
Материалы дела составлены в соответствии с требованиями закона, надлежащим должностным лицом, не доверять сведениям, указанным в них, оснований не имеется, в связи с чем, суд признает их допустимыми доказательствами, которые могут быть положены в основу постановления.
Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой, получены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные по делу.
Исследовав материалы дела, оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания наименование организации виновным в совершении административного правонарушения, а его действия квалифицирует по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях.
В соответствии с п. 1 ст. 3 Федерального закона от дата N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) под персональными данными понимается любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
По смыслу п. 1 ст. 3 Закона о персональных данных наименование организации является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.
Согласно п. 3 ст. 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Случаи, при которых допускается обработка персональных данных субъекта, закреплены в ст. 6 Закона о персональных данных. Обработка персональных данных на основании п. 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2 - 11 ч. 1 ст. 6 Закона о персональных данных.
Оператор обязан обеспечить конфиденциальность персональных данных. Так согласно положениям ст. 7 Закона о персональных данных, операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены ст. 10.1 Закона о персональных данных.
Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от дата N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".
Согласно ч. 5 ст. 6 Закона о персональных данных в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Положениями ч. 1 ст. 13.11 КоАП РФ установлена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.
Из материалов дела усматривается, что в ходе мониторинга электронных средств массовой информации на Интернет-ресурсах выявлен факт наличия персональные данные работников наименование организации (3 160 000 строк) в объеме: фамилия, имя, отчество, адрес электронной почты, номер телефона, город, место работы, адрес места работы, дата рождения, род деятельности, таким образом, установлено, что оператором персональных данных наименование организации допущено нарушение положений ч. 1 ст. 6, ст. 7, ст. 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные работников Оператора, повлекшего за собой распространение персональных данных работников Оператора неограниченному кругу лиц.
К доводу представителя наименование организации о том, что утечка базы данных имела место по причине хакерской атаки, суд относится критически, поскольку указанный факт не свидетельствует об отсутствии состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, а кроме того каких-либо мер наименование организации по установлению виновных лиц не предприняло.
Вопреки доводам защитника наименование организации, обстоятельств, влекущих безусловное прекращение производства по настоящему делу, судом не установлено.
Таким образом, суд, на основании представленных доказательств, исследованных в соответствии с правилами ст. 26.11 КоАП РФ, считает, что наименование организации как оператор, осуществляющий обработку персональных данных, в нарушение положений ст. 18.1, 19 Федерального закона от дата N 152-ФЗ "О персональных данных" не предпринял достаточных правовых, организационных и технических мер для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, и приходит к выводу о виновности наименование организации в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, - обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта РФ предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Исходя из приведенных норм Кодекса Российской Федерации об административных правонарушениях, понятие вины юридического лица означает наличие правовой обязанности, которую юридическое лицо должно выполнить, наличие объективной возможности исполнения указанной обязанности, неисполнение обязанности по причине непринятия лицом всех зависящих от него мер. Вина указанного лица заключается в непринятии всех зависящих от него мер по соблюдению требований действующего законодательства. При этом у него имелась реальная возможность обеспечить выполнение вышеуказанных требований закона.
Материалы дела не содержат доказательств наличия объективных причин, препятствующих фактической реализации предоставленных наименование организации прав и выполнению возложенных на него обязанностей.
Оснований для освобождения от административной ответственности наименование организации, применения положений ст. 2.9 КоАП РФ, суд не усматривает.
Обстоятельств, смягчающих либо отягчающих административную ответственность наименование организации, судом не установлено.
При назначении административного наказания суд учитывает характер и степень общественной опасности совершенного правонарушения, данные о юридическом лице, которое ранее не привлекалось к административной ответственности за совершение однородных правонарушений в течение срока, установленного в ст. 4.6 КоАП РФ, отсутствие смягчающих и отягчающих обстоятельств, и считает необходимым назначить наименование организации административное наказание в виде административного штрафа предусмотренном санкцией ч.1 ст.13.11 КоАП РФ.
На основании изложенного и руководствуясь ст.ст. 29.9 - 29.11 Кодекса РФ об административных правонарушениях, суд
ПОСТАНОВИЛ:
Юридическое лицо - наименование организации признать виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 Кодекса РФ об административных правонарушениях и назначить наказание в виде административного штрафа в размере сумма с перечислением по следующим реквизитам:
УФК по адрес (Департамент по обеспечению деятельности мировых судей адрес л/с № <***>), ИНН: телефон, КПП: телефон, р/с: <***>, корр.сч.: 40102810545370000003, банк получателя платежа: ГУ Банка России по ЦФО//УФК по адрес адрес, БИК: телефон, ОКТМО: телефон, КБК: 80511601203010000140, УИН: 0356140805006540522300453, назначение платежа: дело № 5-654/52/2023, постановление от дата в отношении наименование организации.
Разъяснить представителю наименование организации, что в соответствии со ст.20.25 КоАП РФ неуплата административного штрафа в срок 60 дней со дня вступления постановления суда в законную силу влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не сумма прописью, либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.
В подтверждение оплаты административного штрафа квитанцию (либо её копию) необходимо представить в судебный участок № 52 адрес, по адресу: адрес, либо по электронной почте: mirsud52@ums-mos.ru, до истечения указанного срока.
При отсутствии документа, свидетельствующего об уплате административного штрафа, соответствующие материалы направляются судебному приставу-исполнителю для взыскания суммы административного штрафа в порядке, предусмотренном федеральным законодательством.
Настоящее постановление может быть обжаловано в Черемушкинский районный суд адрес в течение 10 суток со дня вручения или получения копии постановления через мирового судью судебного участка № 52 адрес.
Мировой судьяфио