Постановление по делу № 5-508/2023 от 16.11.2023 - По статье 13.11 КоАП РФ.

Дело № 5-508/2023-4 УИД 42MS0035-01-2023-003914-91

ПОСТАНОВЛЕНИЕ по делу об административном правонарушении

г. Кемерово 17 ноября 2023 года

Резолютивная часть оглашена 16 ноября 2023 года Постановление изготовлено в окончательной форме 17 ноября 2023 года

Мировой судья судебного участка № 6 Центрального судебного района города Кемерово Маркова Е.А., и.о. мирового судьи судебного участка №4 Центрального судебного района г.Кемерово,

с участием защитника ООО «Эгида» Сукиасян И.А., рассмотрев дело об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ в отношении Общества с ограниченной ответственностью «Эгида», адрес регистрации: 6500000, <...> помещ.87, ОГРН: <***>, ИНН:<***>, сведений о привлечении ранее к административной ответственности, представленный материал не содержит,

УСТАНОВИЛ:

ООО «ЭГИДА» 25.06.2023 г. 10.00 часов по адресу: <...> помещ.87, осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния. Правонарушение совершено при следующих обстоятельствах. В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» поступило уведомление Оператора- ООО «ЭГИДА» от 27.06.2023 № 6093471 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно Уведомлению о факте неправомерной или случайной передачи персональных данных ООО «ЭГИДА», причиной, повлекшей нарушение прав субъектов персональных данных является хакерская атака, нацеленная на базу данных «1C Бухгалтерия, Торговля и склад». ООО «ЭГИДА является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме. В действиях Оператора выявлено нарушение требований ч. 1 ст. 6, ст. 7 и ст. 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные клиентов, представителей клиентов Оператора, повлекшего за собой распространение персональных данных клиентов Оператора неограниченному кругу лиц. Ответственность за указанное правонарушение предусмотрена ч. 1 ст. 13.11 КоАП РФ. В судебном заседании защитник ООО «ЭГИДА» Сукиасян И.А., действующая на основании доверенности от 28.08.2023 г., вину в совершении Обществом административного правонарушения не признала, представила письменные возражения, согласно которым пояснила, что протокол составлен в отношении юридического лица, которое само обратилось в Роскомнадзор за защитой, поскольку произошла хакерская атака. Учитывая изложенное, просили производство по делу прекратить в связи с отсутствием состава административного правонарушения. В случае признания Общества виновным назначить наказание в виде предупреждения. Суд, выслушав защитника ООО «ЭГИДА» Сукиасян И.А., исследовав материалы дела об административном правонарушении, приходит к выводу о том, что вина ООО «ЭГИДА» в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, объективно подтверждается имеющимися по делу доказательствами, а именно: - протоколом об административном правонарушении № АП-42/4/763 от 23.10.2023 года, составленным ведущим специалистом- экспертом отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по Кемеровской области -Кузбассу в отношении ООО «ЭГИДА» по ч. 1 ст. 13.11 КоАП РФ, согласно которому, ООО «ЭГИДА» 25.06.2023 г. в 10.00 часов по адресу: <...> помещ.87 осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ) и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния (л.д. 1-5); - уведомлением о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных (л.д. 8); - копией выписки из Единого государственного реестра юридических лиц (л.д. 24-40). Материалы дела составлены в соответствии с требованиями закона, надлежащим должностным лицом, не доверять сведениям, указанным в них, оснований не имеется, в связи с чем, суд признает их допустимыми доказательствами, которые могут быть положены в основу постановления. Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой, получены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные по делу. Исследовав материалы дела, оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания ООО «ЭГИДА» виновным в совершении административного правонарушения, а его действия квалифицирует по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По смыслу п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» ООО «ЭГИДА» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме. Согласно п. 3 ст. 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Случаи, при которых допускается обработка персональных данных субъекта, закреплены в ст. 6 Закона о персональных данных. Обработка персональных данных на основании п. 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2 - 11 ч. 1 ст. 6 Закона о персональных данных. Оператор обязан обеспечить конфиденциальность персональных данных. Так согласно положениям ст. 7 Закона о персональных данных, операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены ст. 10.1 Закона о персональных данных. Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Положениями ч. 1 ст. 13.11 КоАП РФ установлена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния. Из материалов дела усматривается и установлено, что оператором персональных данных ООО «ЭГИДА» допущено нарушение положений ч. 1 ст. 6, ст. 7, ст. 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные клиентов, представителей клиентов Оператора, повлекшего за собой распространение персональных данных клиентов Оператора неограниченному кругу лиц. К доводам защитника ООО «ЭГИДА о том, что утечка базы данных клиентов имела место по причине хакерской атаки, суд относится критически, поскольку указанный факт не свидетельствует об отсутствии состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ. Вопреки доводу защитнику ООО «ЭГИДА», обстоятельств, влекущих безусловное прекращение производства по настоящему делу, судом не установлено. Таким образом, суд, на основании анализа доказательств, исследованных в соответствии с правилами ст. 26.11 КоАП РФ, считает, что ООО «ЭГИДА» как оператор, осуществляющий обработку персональных данных, в нарушение положений ст. 18.1, 19 Федерального закона «О персональных данных» не предпринял достаточных правовых, организационных и технических мер для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, и приходит к выводу о виновности ООО «ЭГИДА» в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, - обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных. Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта РФ предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Исходя из приведенных норм Кодекса Российской Федерации об административных правонарушениях, понятие вины юридического лица означает наличие правовой обязанности, которую юридическое лицо должно выполнить, наличие объективной возможности исполнения указанной обязанности, неисполнение обязанности по причине непринятия лицом всех зависящих от него мер. Вина указанного лица заключается в непринятии всех зависящих от него мер по соблюдению требований действующего законодательства. При этом у него имелась реальная возможность обеспечить выполнение вышеуказанных требований закона. Материалы дела не содержат доказательств наличия объективных причин, препятствующих фактической реализации предоставленных ООО «ЭГИДА» прав и выполнению возложенных на него обязанностей. По убеждению суда, ООО «ЭГИДА» имело возможность для соблюдения правил и норм, установленных законодательством Российской Федерации. Оснований для освобождения от административной ответственности ООО «ЭГИДА», применения положений ст. 2.9 КоАП РФ, суд не усматривает. Обстоятельств, смягчающих либо отягчающих административную ответственность ООО «ЭГИДА», судом не установлено. При назначении административного наказания суд учитывает характер и степень общественной опасности правонарушения, данные о юридическом лице, которое ранее не привлекалось к административной ответственности за совершение однородных правонарушений в течение срока, установленного в ст. 4.6 КоАП РФ, отсутствие смягчающих и отягчающих обстоятельств, и считает необходимым назначить ООО «ЭГИДА» административное наказание в виде административного штрафа. При этом, суд не усматривает оснований для назначения Обществу наказания с применением ст. 4.1.1 КоАП РФ и замены наказания в виде штрафа на предупреждение. Согласно ч. 1 ст. 4.1.1 КоАП РФ за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи. В силу ч. 2 ст. 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба. Между тем, исходя из характера, совершенного ООО «ЭГИДА» административного правонарушения, связанного с распространением персональных данных, мировой судья не находит оснований для замены наказания в виде административного штрафа на предупреждение. На основании изложенного, руководствуясь ст. ст. 29.9 - 29.11 КоАП РФ, мировой судья,

ПОСТАНОВИЛ:

Признать Общество с ограниченной ответственностью «ЭГИДА» виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, назначить наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей. Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ, административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 КоАП РФ. Реквизиты для уплаты штрафа: Уплату административного штрафа в соответствии с ч. 1 ст. 32.2 КоАП РФ произвести не позднее шестидесяти дней со дня вступления настоящего постановления в законную силу. Реквизиты для перечисления денежных средств: Получатель УФК по Кемеровской области - Кузбассу (Управление по обеспечению деятельности мировых судей в Кузбассе), л/с № <***> ИНН <***>, КПП 420501001 Наименование банка: отделение Кемерово Банка России // УФК по Кемеровской области - Кузбассу г. Кемерово БИК 013207212 Расчетный счет 03100643000000013900Кор счет 40102810745370000032 ОКТМО 32701000 Код бюджетной классификации (КБК) 874 116 01133 01 9000 140

Квитанцию об уплате штрафа предоставить в суд. При отсутствии документа, свидетельствующего об уплате административного штрафа, по истечении указанного срока постановление о наложении административного штрафа с отметкой о его неуплате будет направлено мировым судьей для исполнения судебному приставу-исполнителю, который правомочен в отношении лица, не уплатившего административный штраф по делу об административном правонарушении, рассмотренному судьей, составить протокол об административном правонарушении, предусмотренном ч. 1 ст. 20.25 КоАП РФ.

Постановление может быть обжаловано в Центральный районный суд г. Кемерово через мирового судью в течение 10 суток со дня вручения или получения копии постановления.

Мировой судья Е.А.Маркова