Постановление по делу № 05-1020/374/2023 от 29.11.2023 - По статье 13.11 КоАП РФ.

УИД 77MS0374-01-2023-002598-38

ПОСТАНОВЛЕНИЕ

Резолютивная часть постановления оглашена 29 ноября 2023 года.

Полное постановление изготовлено 30 ноября 2023 года.

30 ноября 2023 года <...>

Мировой судья судебного участка №374 Таганского района г.Москвы А.В. Михалева, рассмотрев в открытом судебном заседании материалы административного дела № 5-1020/2023 в отношении юридического лица - общество с ограниченной ответственностью «1С- Битрикс» (ООО «1С –Битрикс»), юридический адрес: *, в отношении которого ведется производство по делу об административном правонарушении по ч.1.1 ст.13.11 Кодекса РФ об административных правонарушениях,

УСТАНОВИЛ:

ООО «1С –Битрикс» вменяется повторное совершение обработки персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

В судебное заседание явился представитель ООО «1С –Битрикс» по доверенности ФИО1, вину в инкриминируемом правонарушении не признал, просит прекратить производство по делу, поскольку вменяемый факт утечки персональных данных является частью данных, в связи с утечкой которых организация ранее была привлечена к административной ответственности, и данный факт выходит за пределы срока привлечения к административной ответственности.

Представитель Управления Роскомнадзора по ЦФО ведущий специалист-эксперт отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления ФИО2 в судебное заседание явился, протокол поддержал, пояснил, что протокол составлен 11.10.2023 на основании уведомления от 08.08.2023 и 06.08.2023, согласно которым ООО «1С –Битрикс» выполнил действия, которые требуются законодательством Российской Федерации. В уведомлении было указано, что произошла утечка персональных данных из компонента ИСПД « Клиенты и партнеры» в виде фамилия, имя, отчество, адрес электронной почты, пол, всего 2908 строк. Утечка информации произошла в открытый источник Интернета. В силу Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», ответственность за обработку, хранение, распространение персональных данных несет сам ООО «1С –Битрикс», независимо от того, привлекает ли ООО «1С –Битрикс» подрядные организации. Утечка информации произошла 05.08.2023, что и будет являться датой совершения правонарушения. Данный факт утечки не может относится к событиям утечки, по которому организация ранее была привлечена к ответвенности, поскольку во –первых – это разные базы, дата выявления иная, кроме того ООО «1С –Битрикс» в рамках проведения проверки на предмет наличия фактов утечки в октябре 2022 года имело возможность установить данный факт и сообщить в Роскомнадзор.

Суд, выслушав защитника ООО «1С –Битрикс» ФИО1, сотрудника Управления Роскомнадзора по ЦФО ФИО2, исследовав материалы дела об административном правонарушении, приходит к выводу о том, что вина ООО «1С –Битрикс» в совершении правонарушения, предусмотренного ч. 1.1 ст. 13.11 Кодекса Российской Федерации об

административных правонарушениях, объективно подтверждается имеющимися по делу доказательствами, а именно:

- протоколом об административном правонарушении № АП-77/09/1307 от 11.10.2023, котором изложено событие и существо правонарушения;

- письмом Руководителю Управления Роскомнадзора по ЦФО от 13.09.2023 года № 08-80147 о принятии мер реагирования в отношении ООО «1С –Битрикс»;

- уведомлениями о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, от 06.08.2023 № 6132581 и от 08.08.2023 № 6134865.

- сведениями о клиентах, 2908 срок;

- отчетом о компьютерном инциденте от 06.08.2023;

- выпиской из Единого государственного реестра юридических лиц;

- объяснениями к протоколу ООО «1С –Битрикс»;

- копией постановления мирового судьи судебного участка № 374 Таганского района города Москвы от 17.03.2023 года; иными материалами дела.

Достоверность вышеуказанных доказательств у суда сомнений не вызывает, поскольку они последовательны, непротиворечивы, согласуются между собой, составлены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные, поэтому суд находит их относимыми, допустимыми, достоверными и достаточными для разрешения настоящего дела, а потому считает возможным положить их в основу постановления.

Управление Роскомнадзора по Центральному федеральному округ (далее также Управление) на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу, утвержденного приказом Роскомнадзора от 25.01.2016 № 38, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Москвы и Московской области.

Роскомнадзором в ходе мониторинга электронных средств массовой информации на Интернет-ресурсе: https://t.me/dfhmara/9 выявлен факт наличия базы данных (2908 строк) ООО «1С –Битрикс», содержащей персональные данные клиентов и разработчиков ООО «1С –Битрикс»а, в объеме: фамилия, имя, отчество, адрес электронной почты, пол.

В Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) поступили уведомления ООО «1С –Битрикс»от 06.08.2023 № 6132581 и от 08.08.2023 № 6134865 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также отчет о компьютерном инциденте (далее - Уведомления о факте неправомерной или случайной передачи персональных данных).

Согласно уведомлениям после обнаружения информации, в сети Интернет, о размещении слитых баз данных Битрикс24, и проведения предварительного оперативного исследования ситуации, ООО «1С –Битрикс» пришел к выводу, что у злоумышленников находится 1 база, которая, по предварительной оценке, может содержать персональные данные, а именно архив файла mpbot.bx24.net, в котором содержится 2 вложенных файла.

Данный факт выявлен 05 августа 2023 года в 16 часов 34 минут по московскому времени.

Частью 1 статьи 13.11 КоАП РФ предусматривается административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Постановлением мирового судьи судебного участка № 374 Таганского района города Москвы от 17.03.2023 ООО «1С –Битрикс» признан виновным в совершении административного правонарушении, предусмотренного частью 1 статьи 13.11 КоАП РФ, за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

Постановление мирового судьи судебного участка № 374 Таганского района города Москвы вступило в законную силу 08.04.2023.

В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В связи с чем содержание скомпрометированной базы данных относится к персональным данным клиентов ООО «1С –Битрикс».

По смыслу пункта 1 статьи 3 Закона о персональных данных ООО «1С –Битрикс» является ООО «1С –Битрикс», осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

Согласно пункту 3 статьи 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

Более того, ООО «1С –Битрикс» обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям статьи 7 Закона о персональных данных ООО «1С –Битрикс» и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статьей 10.1 Закона о персональных данных.

Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

В соответствии с частью 5 статьи 6 Закона о персональных данных в случае, если ООО «1С –Битрикс» поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ООО «1С –Битрикс». Лицо, осуществляющее обработку персональных данных по поручению ООО «1С –Битрикс»а, несет ответственность перед ООО «1С –Битрикс».

На основании изложенного в действиях ООО «1С –Битрикс» выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных ООО «1С –Битрикс», содержащей персональные данные клиентов ООО «1С –Битрикс», повлекшего за собой распространение персональных данных клиентов ООО «1С –Битрикс», неограниченному кругу лиц.

Ч. 1.1 ст. 13.11 КоАП РФ предусмотрена ответственность за повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи.

С учетом того, что компания ранее была привлечена к административной ответственности, предусмотренной ч. 1 ст. 13.11 КоАП РФ (Постановление по делу об административном правонарушении №5-240/2023 от 17.03.2023, вынесенное мировым судьей судебного участка №374 Таганского района города Москвы, вступило в законную силу 08.04.2023), в ее бездействии усматриваются признаки повторности.

Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Оценивая приведенные доказательства в совокупности, мировой судья находит вину ООО «1С –Битрикс» в совершении административного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ, полностью установленной, поскольку юридическим лицом не приняты все зависящие от него меры по выполнению требований действующего законодательства в области персональных данных, а вину в совершении указанного административного правонарушения доказанной, в связи с чем квалифицирует действия ООО «1С –Битрикс» по ч. 1.1 ст. 13.11 КоАП РФ.

Оснований для переквалификации действий ООО «1С –Битрикс» либо прекращения производства по делу не имеется.

Оснований полагать, что данный факт утечки сопряжён с инцидентом прошлой утечки в октябре 2022 года, за что компания уже была привлечена к административной ответственности, у суда не имеется, поскольку данные утверждения защитника носят предположительный характер и полностью опровергаются представленными в материалы дела доказательствами, исследованными судом.

Доводы защитника ООО «1С –Битрикс» о том, что срок давности привлечения к административной ответственности истек, суд находит несостоятельным, поскольку согласно положениям, ч. 1 ст. 4.5 КоАП РФ срок давности привлечения к административной ответственности за правонарушения, предусмотренные ч. 1 ст. 13.11 КоАП РФ, составляет один год.

В силу ч. 2 ст. 4.5 КоАП РФ при длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения.

Как следует из разъяснений, содержащихся в Постановлении Пленума Верховного Суда РФ от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» согласно части 2 статьи 4.5 КоАП РФ при длящемся административном правонарушении сроки, предусмотренные частью первой этой статьи, начинают исчисляться со дня обнаружения административного правонарушения. При применении данной нормы судьям необходимо исходить из того, что длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей.

В данном случае днем обнаружения административного правонарушения является дата размещения в сети Интернет информации об утечке персональных данных клиентов ООО «1С –Битрикс». В сети Интернет по адресу https://t.me/dfhmara/9 была обнаружена информация о размещении базы данных клиентов ООО «1С –Битрикс» - 05.08.2023, что подтверждается уведомлениями о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также снимками экрана.

При назначении административного наказания мировой судья учитывает фактические обстоятельства дела, данные о юридическом лице, его имущественное и финансовое положение, отсутствие отягчающих и смягчающих административную ответственность

обстоятельств, характер совершенного административного правонарушения и считает необходимым назначить административное наказание в виде административного штрафа в пределах санкции статьи.

На основании вышеизложенного, руководствуясь ст. ст. 29.9 - 29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

ПОСТАНОВИЛ:

Признать юридическое лицо общество с ограниченной ответственностью «1С- Битрикс» (ООО «1С –Битрикс») виновным в совершении правонарушения, предусмотренного ч.1.1 ст.13.11 Кодекса РФ об административных правонарушениях и назначить ему наказание в виде административного штрафа в размере 100 000 (сто тысяч) рублей.

Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с <***>), ИНН: <***>, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: <***>, Корреспондентский счет: 40102810545370000003, УИН: 0356140805010203742306067, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-1020/374/2023, постановление от 29.11.2023 по Ст. 13.11, Ч.1.1 КоАП РФ в отношении ООО "1С-БИТРИКС". Судебный участок № 374 тел.: <***>, +7(495)911-59-88, +7(495)609-90-74.

Разъяснить лицу, привлекаемому к административной ответственности, что административный штраф должен быть уплачен им не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки уплаты штрафа. Квитанцию об оплате административного штрафа необходимо предоставить в судебный участок № 374 Таганского района города Москвы, как документ, подтверждающий исполнение судебного постановления. При неуплате административного штрафа в срок сумма штрафа на основании ст. 32.2 Кодекса Российской Федерации об административных правонарушениях будет взыскана в принудительном порядке.

Постановление может быть обжаловано через мирового судью в Таганский районный суд г. Москвы в течение 10 суток со дня получения копии постановления.

Мировой судья А.В. Михалева