Постановление по делу № 05-1294/164/2023 от 14.11.2023 - По статье 13.11 КоАП РФ.

ПОСТАНОВЛЕНИЕ

о назначении административного наказания

<...> 14 ноября 2023 года

Мировой судья судебного участка № 164 района Южное Тушино города Москвы Первовласенко К.А., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в отношении:

Общества с ограниченной ответственностью «МК-ЛИДЕР», ИНН телефон, ОГРН ..., дата регистрации юридического лица 04.07.2016, юридический адрес: адрес, ..., сведений о привлечении ранее к административной ответственности за однородные правонарушения в материалах дела не имеется,

УСТАНОВИЛ:

ООО «МК-ЛИДЕР» 27.01.2023 года в 07 час. 24 мин. по адресу: адрес, ..., осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее по тексту КоАП РФ) и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния.

Правонарушение совершено при следующих обстоятельствах: Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга электронных средств массовой информации на интернет-ресурсах https://t/me/basesleak/38, https://breach.vc/Thread-drpepper-russia-ru-database-leaked?pid=1206358#pid1206358, выявлен факт наличия базы данных (28800 строк) ООО «МК-ЛИДЕР» (далее также Оператор), содержащей персональные данные клиентов Оператора, в объеме: ФИО, номер телефона, адрес электронной почты, город доставки, хэшированный пароль, адрес пункта выдачи и комментарий клиента к заказу. В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» поступило уведомление Оператора от 11.02.2023 № 5935035 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно уведомлению о факте неправомерной или случайной передачи персональных данных Оператора, предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является несанкционированный доступ внешнего пользователя (с IP 146.70.124.163), связанного с уязвимостью программного обеспечения, в частности уязвимость в инструменте Adminer старой версии 4.1.0 (небольшое web-приложение для управления базой данных через интерфейс в браузере), расположенного на сервере сайта. ООО «МК-ЛИДЕР» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме. В действиях оператора выявлено нарушение требований ч. 1 ст. 6, ст. 7 и ст. 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных оператора, содержащей персональные данные клиентов, представителей клиентов оператора, повлекшего за собой распространение персональных данных клиентов оператора неограниченному кругу лиц. Ответственность за указанное правонарушение предусмотрена ч. 1 ст. 13.11 КоАП РФ.

Представитель ООО «МК-ЛИДЕР» в судебное заседание не явился, извещался о дате, времени и месте рассмотрения дела надлежащим образом, причин неявки не сообщил, об отложении слушания дела не ходатайствовал.

В силу ч. 2 ст. 25.1 КоАП РФ дело может быть рассмотрено в отсутствие лица, в отношении которого ведется производство по делу об административном правонарушении, если имеются данные о его надлежащем извещении о месте и времени рассмотрения дела, и если от лица не поступило ходатайство об отложении рассмотрения дела.

Пункт 6 постановления Пленума ВС РФ от 24 марта 2005 года № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» предусматривает, что в целях соблюдения установленных статьей 29.6 Кодекса об административных правонарушениях сроков рассмотрения дел об административных правонарушениях судье необходимо принимать меры для быстрого извещения участвующих в деле лиц о времени и месте судебного рассмотрения. Лицо, в отношении которого ведется производство по делу, считается извещенным о времени и месте судебного рассмотрения и в случае, когда из указанного им места жительства (регистрации) поступило сообщение об отсутствии адресата по указанному адресу, о том, что лицо фактически не проживает по этому адресу либо отказалось от получения почтового отправления, а также в случае возвращения почтового отправления с отметкой об истечении срока хранения.

При таких обстоятельствах, учитывая, что ООО «МК-ЛИДЕР» извещено надлежащим образом о судебном заседании, ходатайство об отложении рассмотрения дела в суд не поступало, мировой судья считает возможным рассмотреть дело в отсутствие представителя общества, по имеющимся в распоряжении суда доказательствам.

В судебном заседании представитель Управления Роскомнадзора по ЦФО по доверенности фио. доводы, изложенные в протоколе об административном правонарушении, поддержал в полном объеме, а также пояснил, что при составлении протокола присутствовал генеральный директор ООО «МК-ЛИДЕР» фио, в этот же день копия протокола с подписью должностного лица ему вручена; ООО «МК-ЛИДЕР» направило в адрес Роскомнадзора уведомление, поскольку обязано было это сделать, в данном уведомлении самим оператором сообщается о том, что оператором были переданы именно персональные данные по причине уязвимости программы; оператор должен принимать все зависящие от него меры для защиты персональных данных, чего в рассматриваемом случае сделано не было. Все элементы состава административного правонарушения в протоколе указаны верно, оснований для прекращения производства по делу не имеется.

Суд, представителя Управления Роскомнадзора по ЦФО, исследовав материалы дела об административном правонарушении, приходит к выводу о том, что вина «МК-ЛИДЕР» в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, объективно подтверждается имеющимися по делу доказательствами, а именно:

- протоколом об административном правонарушении № АП-77/09/882 от 12.07.2023, содержащим сведения о лице, совершившем правонарушение, и обстоятельства его совершения, отвечающим требованиям ч. 2 ст. 28.2 КоАП РФ (л.д. 1-6);

- уведомлениями о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных (л.д. 9);

- скриншотами по итогам мониторинга сети Интернет, подтверждающими утечку данных (л.д. 10-30);

- копией выписки из Единого государственного реестра юридических лиц (л.д. 35-39);

- иными материалами дела.

Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой, получены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные по делу.

Материалы дела составлены в соответствии с требованиями закона, надлежащим должностным лицом, не доверять сведениям, указанным в них, оснований не имеется, в связи с чем, суд признает их допустимыми доказательствами, которые могут быть положены в основу постановления.

В соответствии с п. 1 ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

По смыслу п. 1 ст. 3 Закона о персональных данных ООО «МК-ЛИДЕР» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

Согласно п. 3 ст. 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи, при которых допускается обработка персональных данных субъекта, закреплены в ст. 6 Закона о персональных данных. Обработка персональных данных на основании п. 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2 - 11 ч. 1 ст. 6 Закона о персональных данных.

Оператор обязан обеспечить конфиденциальность персональных данных. Так согласно положениям ст. 7 Закона о персональных данных, операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены ст. 10.1 Закона о персональных данных.

Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Согласно ч. 5 ст. 6 Закона о персональных данных в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Положениями ч. 1 ст. 13.11 КоАП РФ установлена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Из материалов дела усматривается, что в ходе мониторинга электронных средств массовой информации на интернет-ресурсах https://t/me/basesleak/38, https://breach.vc/Thread-drpepper-russia-ru-database-leaked?pid=1206358#pid1206358, выявлен факт наличия базы данных (28800 строк) ООО «МК-ЛИДЕР», содержащей персональные данные клиентов Оператора, в объеме: ФИО, номер телефона, адрес электронной почты, город доставки, хэшированный пароль, адрес пункта выдачи и комментарий клиента к заказу, и, таким образом, установлено, что оператором персональных данных ООО «МК-ЛИДЕР» допущено нарушение положений ч. 1 ст. 6, ст. 7, ст. 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные клиентов, представителей клиентов Оператора, повлекшего за собой распространение персональных данных клиентов Оператора неограниченному кругу лиц.

Обстоятельств, влекущих безусловное прекращение производства, по настоящему делу, судом не установлено.

Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта РФ предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Исходя из приведенных норм Кодекса Российской Федерации об административных правонарушениях, понятие вины юридического лица означает наличие правовой обязанности, которую юридическое лицо должно выполнить, наличие объективной возможности исполнения указанной обязанности, неисполнение обязанности по причине непринятия лицом всех зависящих от него мер. Вина указанного лица заключается в непринятии всех зависящих от него мер по соблюдению требований действующего законодательства. При этом у него имелась реальная возможность обеспечить выполнение вышеуказанных требований закона.

Материалы дела не содержат доказательств наличия объективных причин, препятствующих фактической реализации предоставленных ООО «МК-ЛИДЕР» прав и выполнению возложенных на него обязанностей.

По убеждению суда, ООО «МК-ЛИДЕР» имело возможность для соблюдения правил и норм, установленных законодательством Российской Федерации.

Таким образом, суд, на основании анализа доказательств, исследованных в соответствии с правилами ст. 26.11 КоАП РФ, считает, что ООО «МК-ЛИДЕР» как оператор, осуществляющий обработку персональных данных, в нарушение положений ст. 18.1, 19 Федерального закона «О персональных данных» не предпринял достаточных правовых, организационных и технических мер для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, и приходит к выводу о виновности ООО «МК-ЛИДЕР» в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, - обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

Оснований для освобождения от административной ответственности ООО «МК-ЛИДЕР», применения положений ст. 2.9 КоАП РФ, суд не усматривает.

Обстоятельств, смягчающих, либо отягчающих административную ответственность ООО «МК-ЛИДЕР», судом не установлено.

При назначении административного наказания суд учитывает характер и степень общественной опасности правонарушения, данные о юридическом лице, которое ранее не привлекалось к административной ответственности за совершение однородных правонарушений в течение срока, установленного в ст. 4.6 КоАП РФ, отсутствие смягчающих и отягчающих обстоятельств, сведения о финансовом положении, и считает необходимым назначить ООО «МК-ЛИДЕР» административное наказание в виде административного штрафа.

На основании изложенного, и руководствуясь ст.ст.29.9-29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Признать Общество с ограниченной ответственностью «МК-ЛИДЕР» виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему административное наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

Разъяснить лицу, привлеченному к административной ответственности, что в соответствии со ст. 32.2. Кодекса Российской Федерации об административных правонарушениях, административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 Кодекса Российской Федерации об административных правонарушениях, по указанным реквизитам:

- получатель платежа: УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с <***>), ИНН: <***>, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: <***>, Корреспондентский счет: 40102810545370000003, УИН: 0356140805012941642303166, КБК: 80511601133010000140, назначение платежа: штраф, номер дела 05-1294/164/2023, постановление от 14.11.2023 по ст. 13.11, ч.1 КоАП РФ в отношении ООО «МК-ЛИДЕР». Судебный участок № 164 тел.: <***>, +7(495)490-69-32, +7(495)609-90-74.

Документ, свидетельствующий об уплате административного штрафа, следует представить на судебный участок № 164 района Южное Тушино города Москвы, расположенный по адресу: ул. Циолковского, д. 4, <...> либо по электронной почте: mirsud164@ums-mos.ru.

При неуплате административного штрафа в срок сумма штрафа на основании ст. 32.2 Кодекса Российской Федерации об административных правонарушениях будет взыскана в принудительном порядке.

Постановление может быть обжаловано в Тушинский районный суд города Москвы в течение десяти суток со дня вручения или получения копии постановления через судебный участок № 164 района Южное Тушино г.Москвы.

Мировой судья К.А. Первовласенко