Постановление по делу № 05-0713/216/2023 от 02.10.2023 - По статье 13.11 КоАП РФ.

Дело № 5-713/2023

УИД: 77MS0216-телефон-телефон

ПОСТАНОВЛЕНИЕ

адрес дата

Резолютивная часть постановления объявлена дата

Мотивированное постановление изготовлено дата

Суд, в составе председательствующего мирового судьи судебного участка № 216 адрес фио, (адрес), рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях в отношении

наименование организации (Далее - наименование организации), ОГРН: <***>, ИНН: телефон, дата государственной регистрации: дата, адрес юридического лица: адрес,

УСТАНОВИЛ:

Согласно протоколу об административном правонарушении № АП-77/09/813 от дата наименование организации дата по адресу: адрес, дата в время, осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, в нарушении требований части 1 статьи 6 Федерального закона от дата N 152-ФЗ "О персональных данных" при следующих обстоятельствах.

Роскомнадзором в ходе мониторинга электронных средств массовой информации на интернет ресурсе: https://t.me/c/1720638765/3829 выявлен факт наличия базы данных (3 000 записей) пользователей сайта https://mobile.rfbr.ru, содержащей персональные данные пользователей ФУБУ «Российский центр научной информации» в объеме: фамилия, имя, отчество, адрес электронной почты, место работы, должность, ИНН, данные документа, удостоверяющего личность, город, СНИЛС, пол, дата рождения, сведения о научных достижениях.

В Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона от дата № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) поступили уведомления Оператора от дата №6011760, от дата №6019789, от дата № 6036918 и от дата № 6036933 о факте неправомерной или случайной передачи предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - Уведомления о факте неправомерной или случайной передачи персональных данных).

Согласно Уведомлениям о факте неправомерной или случайной передачи персональных данных Оператора дата в дневное время сервис РЦНИ был атакован, а именно: в время трафик достиг значения 50 Мб/с и примерно 20 000 запросов в секунду. Было задействовано примерно 2 500 источников. Максимальный трафик от одного запроса не превышал 2 Мб/с (не более 700 запросов в секунду). Сотрудниками РЦНИ установлено, что, предположительно, во время атаки был подобран пароль к хосту в DMZ 193.233.79.227, расположенному на интернет- ресурсе mobile.rfbr.ru (мобильная версия КИАС). В ходе проведенного внутреннего расследования сотрудниками РЦНИ лица, причастные к распространению персональных данных не установлены.

В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

В связи с чем, содержание скомпрометированной базы данных относится к персональным данным пользователей интернет-ресурса mobile.rfbr.ru.

Действия оператора при этом, не содержат в себе признаков правонарушения, предусмотренного статьей 17.13 КоАП РФ, и не содержат признаков уголовно наказуемого деяния.

Таким образом, установлен факт неправомерного доступа к базе данных, содержащей персональные данные клиентов наименование организации.

Представитель наименование организации по доверенности фио в судебное заседание явилась, вину признала частично, пояснила, что факт утечки данных базы клиентов не оспаривает, с протоколом об административном правонарушении согласна. Однако, просила назначить наказание в виде предупреждения, поскольку утечка персональных данных произошла ввиду хакерской атаки, представила суду письменные пояснения по делу, с приложением, в которых ссылалась на то, что на данный момент наименование организации устранило все нарушения и действовала в рамках законодательства.

В ходе судебного заседания в качестве свидетеля допрошен ведущий специалист-эксперт Управления Роскомнадзора по ЦФО фио, который поддержал основания составления протокола об административных правонарушении, предусмотренного ч. 1 ст. 13.11 КоАП РФ, в отношении наименование организации, наказание в виде предупреждения оставил на усмотрение суда.

Выслушав объяснения представителя наименование организации, исследовав представленные материалы дела, суд приходит к выводу, что вина наименование организации в совершении административного правонарушения, предусмотренного ст. 13.11 ч. 1 КоАП РФ установлена и кроме признания вины подтверждается следующими доказательствами:

- протоколом об административном правонарушении N АП-77/09/813 от дата, отражающим факт и событие административного правонарушения;

- уведомлениями о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных;

- скриншотами экрана базы данных, расположенной в сети "Интернет", содержащей персональные данные пользователей интернет-ресурса mobile.rfbr.ru;

- выпиской из ЕГРЮЛ в отношении наименование организации;

- уставом наименование организации;

- письменными объяснениями начальника Управления информационно-аналитических систем наименование организации фио от дата о факте неправомерной или случайной передачи персональных данных;

- а также другими письменными материалами дела.

Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях.

Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от двух тысяч до сумма прописью; на должностных лиц - от десяти тысяч до сумма прописью; на юридических лиц - от шестидесяти тысяч до сумма прописью.

В силу ч. 1 ст. 6 Федерального закона от дата N 152-ФЗ "О персональных данных" обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Согласно ч. 1 ст. 19 Федерального закона от дата N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В силу приведенных положений обработка персональных данных включает в себя передачу (распространение, предоставление, доступ) персональных данных.

Из материалов дела следует, что персональные данные клиентов наименование организации, в частности СНИЛС, ИНН, Паспортные данные, стали доступны в информационно-коммуникационной сети Интернет неопределенному кругу лиц.

Данный факт представитель наименование организации не оспаривала в суде.

При этом, к доводам представителя наименование организации о том, что утечка базы данных клиентов имела место ввиду хакерской атаки, суд относится критически, поскольку указанный факт не свидетельствует об отсутствии состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, а также представленные представителем наименование организации в ходе судебного заседание к письменным объяснениям, дополнительные документы не опровергают вину наименование организации в совершении правонарушения.

При таких обстоятельствах, суд приходит к выводу о том, что наименование организации допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, в связи с чем, действия юридического лица подлежат квалификации по ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Обстоятельств, отягчающих административную ответственность наименование организации, судом не установлено.

Смягчающим вину обстоятельством, суд принимает частичное признание вины представителя наименование организации, и тот факт, что на данный момент нарушение устранено.

Вопреки доводам представителя наименование организации фио, оснований для замены административного штрафа на предупреждение, не имеется.

В силу части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Так, с учетом взаимосвязанных положений части 3 статьи 3.4 и части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях возможность замены наказания в виде административного штрафа предупреждением допускается при наличии совокупности всех обстоятельств, указанных в части 2 статьи 3.4 указанного Кодекса.

Вместе с тем, в рассматриваемом случае не следует, что имеются условия, предусмотренные частью 2 статьи 3.4 Кодекса Российской Федерации при которых допускается замена административного штрафа предупреждением.

При рассмотрении вопроса о возможности замены административного штрафа на предупреждение необходимо учитывать, что преференция, установленная статьей 4.1.1 Кодекса Российской Федерации об административных правонарушениях, является исключительной.

В рассматриваемом случае оснований полагать, что наличествуют условия, позволяющие заменить административный штраф на предупреждение, не имеется, поскольку неисполнение наименование организации возложенных на него требований законодательства о защите персональных данных, регулирующего отношения между неограниченным кругом субъектов персональных данных, чьи персональные данные обрабатываются, с одной стороны, и юридическим лицом с другой стороны, свидетельствуют о пренебрежительном отношении лица к возложенным на него публично-правовым обязанностям, посягающим на общественные отношения, связанные с использованием персональных данных, эффективное и правильное обеспечение защиты которых возможно только при выполнении требований Закона о персональных данных, и как следствие, правильной организации работы оператора.

Таким образом, поскольку вменяемое юридическому лицу административное правонарушение представляет угрозу охраняемым общественным отношениям в сфере обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, то в представленной ситуации оснований для замены назначенного административного штрафа на предупреждение, не имеется.

При назначении административного наказания суд учитывает характер совершенного административного правонарушения, сведения об имущественном положении юридического лица, наличие смягчающих и отсутствие отягчающих обстоятельств, и считает возможным назначить наименование организации наказание в виде административного штрафа.

Руководствуясь ст. ст. 23.1, 29.9 - 29.11 КоАП РФ, суд,

ПОСТАНОВИЛ:

Признать юридическое лицо наименование организации (наименование организации) виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, и назначить ему наказание в виде административного штрафа в доход государства в размере сумма

Разъяснить, что в соответствии со ст. 32.2 Кодекса РФ об административных правонарушениях, административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.

Документ, свидетельствующий об уплате административного штрафа, должен быть представлен в судебный участок N адрес Гагаринский адрес.

Получатель платежа: Получатель УФК по адрес (Департамент по обеспечению деятельности мировых судей адрес л/с <***>), ИНН: телефон, КПП: телефон, ОКТМО: телефон, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по адрес адрес, БИК: телефон, Расчетный счет: <***>, Корреспондентский счет: 40102810545370000003, УИН: 0356140805007132162305793, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0713/216/2023, постановление от дата по Ст. 13.11, Ч.1 КоАП РФ в отношении наименование организации. адрес № 216 тел.: телефон, телефон, телефон.

В соответствии со ст. 20.25 КоАП РФ неуплата административного штрафа в указанный срок влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не сумма прописью либо административный арест на срок до пятнадцати суток либо обязательные работы на срок до пятидесяти часов.

Постановление может быть обжаловано в течение 10 суток со дня получения постановления через судебный участок № 216 адрес в Гагаринский районный суд адрес.

Мировой судья фио