Постановление по делу № 05-1059/422/2023 от 12.10.2023

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

16 октября 2023 года <...>

(резолютивная часть постановления оглашена 12 октября 2023 года)

Мировой судья судебного участка № 422 Таганского района г. Москвы Вахрамеев Т.С. рассмотрев дело 5-1059/23 об административном правонарушении, предусмотренном ч. 8 ст. 13.11 КоАП РФ в отношении ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), зарегистрированном в соответствии с законодательством Англии, офис которого находится по адресу: ...,

УСТАНОВИЛ:

ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), являясь оператором, осуществляющим обработку персональных данных, допустил сбор персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», не выполнив предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Так, установлено, что 28 июня 2023 года ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), находящийся по адресу: ..., осуществляет сбор персональных данных граждан Российской Федерации, не обеспечив запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) или извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, чем нарушил ч. 5 ст.18 Федерального закона 27.07.2006 N 152-ФЗ «О персональных данных».

Законный представитель ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) в судебное заседание не явился, извещен по адресам электронной почты, обеспечена явка защитника, в связи с чем права законного представителя ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) не нарушены и суд считает возможным рассмотреть дело в его отсутствие.

Защитник ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) ФИО1 в судебное заседание явился, вину Компании в совершении инкриминируемого административного правонарушения не признал. В обоснование своей позиции пояснил, что административным органом нарушена процедура административного производства, поскольку возбуждение дела об административном правонарушении по ч. 8 ст. 13.11 КоАП РФ за нарушение требования о локализации персональных данных допускается только по результатам проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом. Роскомнадзор не представил надлежащих доказательств нарушения Компанией законодательства о локализации персональных данных. Предполагаемое бездействие Компании в случае доказанности ее вины надлежит квалифицировать по ст. 19.7 КоАП РФ, поскольку ей инкриминируется не предоставление информации по запросу административного органа. У Компании заключено соглашение Daon, которая выполняет обязанности по локализации и защите персональных данных, в связи с чем Компания не может являться виновным лицом по настоящему делу. С учетом изложенного, просит производство по делу прекратить в связи с отсутствием события административного правонарушения.

Главный специалист-эксперт отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по ЦФО ФИО2 пояснил, что на ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) распространяются требования ч. 5 ст. 18 Федерального закона 27.07.2006 N 152-ФЗ «О персональных данных». Поводом для возбуждения дела явился не предоставление ответа Компанией на запрос Роскомнадзора, порядок возбуждения дела по результатам проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом в данном случае не применим. Сведения, представленные Роскомнадзором и изложенные в докладной записке, им проверялись и были подтверждены. После составления протокола Компания якобы направила некий договор с российской компанией, но ему об этом конкретно ничего неизвестно. Тот факт, что базы данных находятся не в России, подтверждается сведениями из whois-сервиса. Он в соответствии с занимаемой должностью наделен полномочиями по возбуждению дел соответствующей категории, равно как и ФИО3 правомочна составлять докладные записки о выявлении административных правонарушений в сфере локализации персональных данных.

Судья, выслушав защитника ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), допросив должностное Управлением Роскомнадзора по ЦФО, исследовав материалы дела, считает, что вина ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) в совершении административного правонарушения доказана полностью и подтверждается следующими доказательствами, а именно:

- протоколом № АП-77/09/1084 от 29.08.2023 года, отражающим событие и сам факт совершения ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) административного правонарушения, предусмотренного ч. 8 ст. 13.11 КоАП РФ;

- письмом Роскомнадзора от 24.07.2023 № 08ВМ-62231 «О привлечении FACE IT LIMITED к административной ответственности» (вх. от 24.07.2023 № 56162/77);

- докладной запиской Роскомнадзора от 18.07.2023 № 7504-дз;

- Обращение гражданина от 15.05.2023 с приложенным материалами;

- письмом Роскомнадзора 15.05.2023 № 19360-12/78;

- письмом Роскомнадзора от 13.06.2023 № 08-49534 (рус.);

- листом рассылки к письму Роскомнадзора от 13.06.2020 № 08-49534;

- Политикой конфиденциальности компании FACE IT LIMITED;

- снимками экрана сайта компании FACE IT LIMITED, а также другими материалами дела.

Представленные доказательства собраны в соответствии с требованиями ст. 26.2 КоАП РФ, а именно содержат фактические сведения о событии правонарушения, времени и месте его совершения, в представленных материалах указано существо правонарушения в соответствии с КоАП РФ, каких-либо фактов нарушения определенной законом процедуры сбора и фиксации доказательств не установлено.

В соответствии с пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Положениями Главы 4 Закона установлены обязанности, закрепленные за оператором, осуществляющим обработку персональных данных.

В частности, согласно ч. 5 ст. 18 Закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

В ходе анализа интернет-сайта https://www.faceit.com (далее — Сайт) установлено, что на Сайте обрабатываются персональные данные граждан Российской Федерации, в том числе посредством формы «Верификация», в объеме: ФИО, пол, адрес регистрации, дата рождения, место рождения, идентификационный номер, подпись вместе с фотоизображением пользователя.

В соответствии с Политикой конфиденциальности, расположенной на странице https://www.faceit.com/ru/settings/privacy, пользователями в процессе подтверждения (верификации) учетной записи «Информация для проверки личности», может предоставляться следующая информация:

информация, основанная на сканировании сетчатки глаза или радужной оболочки глаза человека, отпечатке пальца или сканировании геометрии руки или лица («Биометрические данные»);

информация, отображаемая на удостоверениях личности, например, имя, адрес, пол, дата рождения, место рождения, идентификационный номер, подпись.

Предоставляемый перечень сведений является информацией, относящейся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), что в соответствии с п. 1 ст. 3 Закона является персональными данными.

Кроме того, согласно содержанию Политики конфиденциальности данные российских пользователей Сайта обрабатываются с использованием баз данных, находящихся на территории Европейского союза.

Таким образом, совершая указанные действия с предоставляемыми пользователями данными, Компания является оператором, осуществляющим обработку персональных данных граждан Российской Федерации, на которого распространяются требования Закона.

Положениями главы 4 Закона установлены обязанности, закрепленные за оператором, осуществляющим обработку персональных данных.

Проведенный анализ сведений, полученных из общедоступных whois-сервисов, показал, что данные российских пользователей Сайта обрабатываются с использованием баз данных, находящихся на территории США.

В целях обеспечения соблюдения требований законодательства Российской Федерации в области персональных данных Роскомнадзором в адрес администратора Сайта было направлено письмо от 13.06.2023 № 08-49534 о предоставлении информации о соблюдении администратором Сайта требований ч. 5 ст. 18 Закона.

В установленный срок ответ от администратора Сайта с информацией о выполнении требований ч. 5 ст. 18 Закона на письмо Роскомнадзора от 13.06.2020 № 08-49534 в адрес Роскомнадзора не поступил.

Согласно листу рассылки к письму Роскомнадзора от 13.06.2020 № 08-49534, содержащемуся в системе электронного документооборота Роскомнадзора, указанное письмо отправлено администратору Сайта 14.06.2023.

С учетом положений ч. 4 ст. 20 Федерального закона срок для ответа Оператора на указанное требование установлен до 27.06.2023 включительно.

Вместе с тем по состоянию на дату составления протокола информация от администратора сайта о выполнении требований ч. 5 ст. 18 Закона в адрес Роскомнадзора не поступила.

Положения Постановления Правительства РФ от 10.03.2022 № 336 применяются к случаям, установленным Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Контрольные (надзорные) мероприятия в отношении юридических лиц в области персональных данных проводятся в соответствии с Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденным Постановлением Правительства Российской Федерации от 29 июня 2021 г. № 1046.

В соответствии с частью 1 статьи 1 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» под государственным контролем (надзором), муниципальным контролем в Российской Федерации (далее - государственный контроль (надзор), муниципальный контроль) понимается деятельность контрольных (надзорных) органов, направленная на предупреждение, выявление и пресечение нарушений обязательных требований, осуществляемая в пределах полномочий указанных органов посредством профилактики нарушений обязательных требований, оценки соблюдения гражданами и организациями обязательных требований, выявления их нарушений, принятия предусмотренных законодательством Российской Федерации мер по пресечению выявленных нарушений обязательных требований, устранению их последствий и (или) восстановлению правового положения, существовавшего до возникновения таких нарушений.

Таким образом, требования Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» применяются только на территории Российской Федерации.

Ввиду того, что ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) находится за пределами Российской Федерации, требования Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», а также Постановления Правительства РФ от 10.03.2022 № 336 в отношении указанной компании неприменимы.

Должностные лица Роскомнадзора и Управления Роскомнадзора по ЦФО ФИО3 и ФИО2 наделены полномочиями по составлению соответствующих процессуальных документов, о чем указал последний в судебном заседании, оснований для истребования должностных регламентов данных должностных лиц и дополнительного вызова должностного лица суд не усматривает.

Как следует из докладной записки от 18.07.2023 № 7504-дз должностными лицами Роскомнадзора проведен анализ деятельности компании ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), а именно проанализированы положения Политики конфиденциальности ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), размещенные на странице сайта в информационно-телекоммуникационной сети «Интернет», и проведен анализ расположения без данных российских пользователей сервисов ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) с использованием сервисов whois, предоставляемых на сайте 2ip.ru. На основании полученных сведений установлено, что обработка данных осуществляется использованием баз данных, расположенных на территории США. В связи с этим, в адрес ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) Росконадзором направлено письмо с требованием представить информацию о соблюдении требований части 5 статьи 18 Федерального закона «О персональных данных». В связи с тем, что такая информация не представлена, должностными лицами Роскомнадзора был сделан вывод о нарушении указанных требований.

Таким образом, поводом к возбуждению дела об административном правонарушении явилось поступившие из ЦА Роскомнадзора материалы, содержащие данные, указывающие на наличие события административного правонарушения, что не противоречит положениям постановлением Правительства РФ от 10.03.2022 № 336.

В связи с доводами защитника о не установлении нахождения баз данных, обрабатывающих персональные данные граждан Российской Федерации, а также недопустимости сведений с сайта 2ip.ru, следует отметить, что указанное обстоятельство, а именно конкретное нахождение баз данных (в том или ином государстве), доказыванию не подлежит.

Более того, с момента получения письма-требования Роскомнадзора 14 июня 2023 года, при составлении протокола об административном правонарушении от 29 августа 2023 года и в настоящем судебном заседании, т.е. при полной осведомленности об административном преследовании по факту нарушений требований законодательства в области персональных данных ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) не представил каких-либо доказательств факта локализации персональных данных граждан Российской Федерации.

По вышеуказанным обстоятельствам несостоятельна позиция защитника о необходимости квалификации бездействия ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) по ст. 19.7 КоАП РФ, поскольку основана на неверном толковании закона. ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) инкриминировано не «непредставление сведений (информации)», а невыполнение требований ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и именно отсутствие ответа на требование в данном случае свидетельствует о нарушении указанной нормы законы, учитывая тот факт, что запрашиваемые копии документов или договор аренды не представлены и в настоящем судебном заседании, т.е. наступление административной ответственности за инкриминируемое бездействие не зависит от ответа на указанный запрос при условии предоставления доказательств выполнения требований законодательства в области персональных данных судье, рассматривающему дело, чего сделано не было.

Относительно доводов о наличии стороннего поставщика услуг (Daon Limited), следует отметить, что оператором, осуществляющим обработку персональных данных, является ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), при этом возвращаясь к вышеизложенному, сам факт наличия данного договора не свидетельствует о выполнении Компанией ч. 5 ст. 18 Закона. Сущность правоотношений между ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) и Daon Limited в разрезе выполнения требований российского законодательства в области персональных данных неизвестна, административному органу и суду не доведена.

Таким образом, достоверность вышеуказанных доказательств у судьи сомнений не вызывает, поскольку они последовательны, непротиворечивы, составлены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные, поэтому мировой судья принимает их как допустимые доказательства. Совокупность указанных доказательств судья полагает достаточной для вывода о виновности ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) в совершении инкриминируемого административного правонарушения.

Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Доказательств, подтверждающих принятие ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED)всех зависящих от него, достаточных и своевременных мер для предотвращения правонарушения, соблюдения требований законодательства, как и доказательств отсутствия возможности и наличия объективных обстоятельств, препятствующих своевременному выполнению установленных законодательством обязанностей, ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED)не представлено.

Таким образом, вина ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED)в совершении административного правонарушения нашла свое объективное подтверждение в ходе рассмотрения дела, в связи с чем, действия ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED)судья квалифицирует по ч. 8 ст. 13.11 КоАП РФ.

Оснований для переквалификации действий ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED)либо прекращения производства по делу не имеется.

При назначении наказания судья учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED).

Наличие смягчающих и отягчающих административную ответственность ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) обстоятельств судьей не установлено.

Учитывая, что санкция ч. 8 ст. 13.11 КоАП РФ предусматривает безальтернативное наказание, судья назначает наказание в виде административного штрафа, как единственного возможного и соразмерного способа достижения справедливого баланса публичных и частных интересов в рамках административного судопроизводства.

Руководствуясь ст. ст. 29.9 – 29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Признать ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED) виновным в совершении административного правонарушения, предусмотренного ч. 8 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях и назначить ему наказание в виде административного штрафа в размере 1 000 000 (один миллион) рублей.

Разъяснить ФЕЙС ИТ ЛИМИТЕД (FACE IT LIMITED), что в соответствии с ч. 1 ст. 32.2 КоАП РФ, административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу, за исключением случая, предусмотренного частью 1.1 или 1.3 настоящей статьи, либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 настоящего Кодекса.

Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с <***>), ИНН: <***>, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: <***>, Корреспондентский счет: 40102810545370000003, УИН: 0356140805010594222303165, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-1059/422/2023, постановление от 12.10.2023 по Ст. 13.11, Ч.8 КоАП РФ в отношении FACE IT LIMITED. Судебный участок № 422 тел.: <***>, +7(499)753-05-62, +7(495)609-90-74.

Постановление может быть обжаловано в Таганский районный суд города Москвы в течение десяти суток со дня вручения копии постановления.

Мировой судьяВахрамеев Т.С.