Постановление по делу № 5-26/2025 от 23.01.2025 - По статье 13.11 КоАП РФ.

Решение по административному делу

2025-04-14 06:32:52 ERROR LEVEL 8

On line 30 in file C:\AMIRS_WEB\program\port\showdoc.php:

Undefined index: case_number

2025-04-14 06:32:52 ERROR LEVEL 2

On line 975 in file C:\AMIRS_WEB\program\sqls\sqls.php:

ibase_fetch_assoc(): conversion error from string ""

Дело № 5-26/2025-9 ПОСТАНОВЛЕНИЕ по делу об административном правонарушении

23 января 2025 года г. Смоленск<АДРЕС>

Мировой судья судебного участка № 9 в г. Смоленске Рубашенкова К.А., рассмотрев дело об административном правонарушении в отношении общества с ограниченной ответственностью «Управляющая Компания «Ливмастер», (ОГРН <***>, ИНН <***>, КПП 673201001), расположенного по адресу: 214014, <...>, помещ. 3, привлекаемого к административной ответственности по ст. 13.11 ч. 1 КоАП РФ,

УСТАНОВИЛ:

Согласно протоколу об административном правонарушении № АП-67/0/84 от 17.12.2024 ООО «Управляющая компания «Ливмастер» 9 октября 2024 г. по адресу: <...>, помещ. 3, совершило обработку персональных данных, не предусмотренных законодательство РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, а именно: допустило распространение базы данных пользователей сайта https://www.livemaster.ru, содержащей персональные данные: фамилия, имя, отчество, адрес электронной почты, город, чем совершило административное правонарушение, предусмотренное ст. 13.11 ч. 1 КоАП РФ, В судебном заседании представитель Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникация по Смоленской области ФИО1 указала, что 09.10.2024 и 11.10.2024 г. в Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» от ООО УК «Ливмастер» поступили уведомления о факте случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, а именно имевшем место случае неправомерного доступа неустановленных лиц к базе данных пользователей сайта https://www.livemaster.ru, содержащей персональные данные. Поскольку юридическим лицом приняты своевременные меры по организации внутреннего расследования инцидента, ранее к административной ответственности за совершение аналогичных правонарушений ООО «Управляющая компания «Ливмастер» не привлекалось, не возражала против смягчения административного наказания путем замены административного штрафа на предупреждение. Защитник ООО УК «Ливмастер» ФИО2 вину в совершении административного правонарушения признала в полном объеме, поддержав письменные объяснения. Указала, что 09.10.2024 г. в 10 часов 55 минут в ходе анализа технической проблемы был выявлен факт возможного неправомерного доступа неустановленных лиц к охраняемой законом компьютерной информации Общества, относящейся к функционированию сайта https://www.livemaster.ru, что повлекло ее частичное уничтожение и возможно копирование (далее - инцидент), в связи с чем 09.10.2024 в соответствии с ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Обществом в адрес Управления Роскомнадзора по Смоленской области было направлено Уведомление о факте неправомерной или случайной передачи персональных данных <НОМЕР> <ДАТА8> Приказом <НОМЕР> создана комиссия для проведения внутреннего расследования выявленного инцидента. В соответствии с Актом комиссии по проведению внутреннего расследования от <ДАТА5> комиссией установлено следующее: в лог-файлах обнаружены нехарактерные для легитимного кода запросы к серверу базы данных Общества на удаление; злоумышленник разместил фото доказательства выгрузки базы данных Общества в Чате Ярмарки Мастеров для покупателей в Telegram t.me/livemasterchat; 09.10.2024 года во внешних источниках появилась информация о том, что в открытом доступе выложена база данных Общества, которая содержит следующую информацию о пользователях: фамилия, имя, отчество, номера телефонов, адреса электронной почты, адреса доставки, IP-адреса, ссылки на социальные сети, данные заказов, за исключением данных карт, которые Общество не обрабатывает (не собирает и не хранит). Поиск источника публикации не дал результатов. Комиссией установлено, что причиной инцидента предположительно мог послужить несанкционированный доступ неустановленных лиц к информационным системам Общества («хакерская атака»), при этом вероятная уязвимость находится в зоне расположения административной панели, старой файловой системы (неактуально) и продакшн среды для внутреннего тестирования. Причастность и вина сотрудников Общества в произошедшем инциденте не установлена. С целью предотвращения потенциальных рисков, комиссия посчитала возможным допустить, что неустановленные лица произвели действия, повлекшие нарушение прав субъектов персональных данных. <ДАТА5> в соответствии с ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество в адрес Управления Роскомнадзора по Смоленской области направило Уведомление о результатах внутреннего расследования <НОМЕР>. Для устранения последствий выявленного инцидента Обществом организован мониторинг источников данных: проводится постоянный анализ внешних источников данных об утечках и внутренний анализ баз данных Общества по вопросам, вынесенных в предмет внутреннего расследования; выполняется внутренний аудит баз данных Общества для выявления возможных других уязвимостей, а также установлены дополнительные меры защиты: внедрен сервис защиты веб-приложений Web Application Firewall (WAF), что дополнительно значительно усилило безопасность данных, проведено обновление всех систем безопасности с изоляцией потенциальной зоны уязвимости, выявленной в ходе технического анализа в рамках внутреннего расследования. Для предупреждения повторных инцидентов в штат Общества был принят инженер информационной безопасности, в трудовые функции которого входит регулярный мониторинг информационных систем Общества, проведение тестирования на уязвимости и обеспечение соответствия процессов Общества требованиям законодательства в части информационной безопасности при обработке персональных данных.

На основании изложенного, просила о смягчении административного наказания и его замене на предупреждения. В случае, если суд придет к выводу о невозможности такой замены, просила учесть в качестве смягчающих обстоятельств факт своевременного направления в адрес Управления Роскомнадзора по Смоленской области Уведомления сведений о факте неправомерной или случайной передачи персональных данных и о результатах внутреннего расследования, принятия Обществом мер по предоставлению пользователям сайта компенсации за причиненные неудобства, а также то обстоятельство, что ООО «УК «Ливмастер» активно реализует социально значимые проекты, в том числе, Специальный социальный проект «Женское дело» от Ярмарки Мастеров https://www.livemaster.ru/womensbusiness и включено в Единый реестр субъектов малого и среднего предпринимательства, о чем свидетельствует Сведения из Единого реестра субъектов малого и среднего предпринимательства (является малым предприятием), и назначить минимальный размер административного штрафа с учетом статуса ООО «УК «Ливмастер».

Заслушав лиц, участвующих в деле, исследовав письменные материалы дела, мировой судья приходит к следующему. Частью 1 статьи 13.11 КоАП РФ установлена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, в виде наложения административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей. Статьей 23 Конституции Российской Федерации определено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. На основании части 1 статьи 24 Конституции Российской Федерации сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу.

Под обработкой персональных данных подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

В соответствии с пунктом 1 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных осуществляется только с согласия субъекта персональных данных на обработку его персональных данных.

В соответствии со ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

В силу ст. 7 указанного закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом. В силу ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Из материалов дела усматривается, что в Управление Роскомнадзора по Смоленской области поступила информация по факту неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов персональных данных со стороны общества с ограниченной ответственностью «Управляющая Компания «Ливмастер», которая нашла свое подтверждение в ходе мониторинга сети Интернет, а именно: выявлен факт распространения базы данных, содержащей персональные данные пользователей сайта https://www.livemaster.ru - фамилия, имя, отчество, адрес электронной почты, город. Указанные обстоятельства подтверждаются представленными, исследованными мировым судьей материалами дела, а именно: протоколом об административном правонарушении от 17.12.2024, копией уведомления о факте неправомерной или случайной передачи персональных данных от 11.10.2024 и от 09.10.2024, объяснениями ООО «УК «Ливмастер», копией приказа от <ДАТА11> <НОМЕР> о создании комиссии, и иными материалами дела.

Таким образом, содержание скомпрометированной базы данных относится к персональным данным пользователей сайта https://www.livemaster.ru, и именно ООО «УК «Ливмастер» обязано было обеспечить конфиденциальность персональных данных.

Исследованные доказательства получены в соответствии с требованиями законодательства, являются достоверными и допустимыми, а их совокупность достаточной для разрешения дела по существу.

Анализируя представленные доказательства в их совокупности, мировой судья полагает, что они с достаточной полнотой подтверждают вину юридического лица ООО «УК «Ливмастер» в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Таким образом, мировой судья находит вину ООО «УК «Ливмастер» в совершении административного правонарушения доказанной полностью, а правовую оценку совершенного ООО «УК «Ливмастер» административного правонарушения по ч. 1 ст. 13.11 КоАП РФ правильной.

При назначении наказания, суд учитывает характер и степень общественной опасности правонарушения, данные о юридическом лице, смягчающие административную ответственность обстоятельства, имущественное положение общества, относящегося к субъектам малого предпринимательства.

Санкцией 1 ст. 13.11 КоАП РФ не предусмотрено административное наказание в виде штрафа. В соответствии с ч. 1 ст. 4.1.1 КоАП РФ за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи. Часть 1 ст. 13.11 КоАП РФ не исключает возможности замены административного штрафа предупреждением.

Согласно ч. 2 ст. 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба. Из исследованных материалов дела следует, что правонарушение ООО «УК «Ливмастер» совершено впервые, отсутствуют обстоятельства, указанные в ч. 2 ст. 3.4 КоАП РФ. При таких обстоятельствах наказание в виде административного штрафа, предусмотренное санкцией ч. 1 ст. 13.11 КоАП РФ, подлежит замене на предупреждение.

На основании вышеизложенного, руководствуясь ст. 29.9 - 29.11 КоАП РФ, мировой судья

постановил:

признать общество с ограниченной ответственностью «Управляющая Компания «Ливмастер» виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, и назначить ему наказание в виде предупреждения. Постановление может быть обжаловано в Промышленный районный суд г.Смоленска через мирового судью судебного участка № 9 в г.Смоленске в течение 10 дней со дня вручения или получения копии постановления.

Мировой судья К.А. Рубашенкова