Постановление по делу № 05-0637/56/2023 от 09.11.2023 - По статье 13.11 КоАП РФ.

УИД 77MS0056-01-2023-002889-14

Дело № 5-637/23

ПОСТАНОВЛЕНИЕ

г. Москва 09 ноября 2023 года

Суд в составе председательствующего мирового судьи судебного участка № 55 района Теплый Стан г. Москвы Катасоновой Т.Ю., исполняющего обязанности мирового судьи судебного участка № 56 района Теплый Стан г. Москвы, в помещении судебного участка № 55 района Теплый Стан г. Москвы, расположенного по адресу: <...>, рассмотрев административное дело по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях в отношении

индивидуального предпринимателя ФИО1, ***,

УСТАНОВИЛ:

ИП ФИО1, совершила административное правонарушение, ответственность за которое предусмотрена ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях.

Роскомнадзором в ходе мониторинга электронных средств массовой информации на интернет-ресурсе ***, выявлен факт наличия базы данных (6500 строк) ИП ФИО1 (далее также Оператор), содержащей персональные данные клиентов Оператора, в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес доставки.

В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) поступили уведомления Оператора от 22.06.2023 № *** и от 22.06.2023 № *** о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – Уведомление о факте неправомерной или случайной передачи персональных данных.)

Согласно Уведомлению о факте неправомерной или случайной передачи персональных данных Оператора предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является то, что злоумышленниками был совершен взлом сайта магазина *** и проникновение в административную часть сайта. Вход был совершен с IP адреса находящемся в Великобритании.

В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В связи с чем содержание скомпрометированной базы данных относится к персональным данным пользователей интернет-сайта ***. По смыслу пункта 1 статьи 3 Закона о персональных данных ИП ФИО1 является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

ИП ФИО1 в судебное заседание явилась, вину в совершении правонарушения не признала, пояснила, что доступ к базе данных, содержащей персональные данные пользователей интернет - ресурса *** был осуществлен третьим лицом незаконно. Она своевременно подала в Роскомнадзор уведомления о произошедшем инциденте и результатах внутреннего расследования инцидента и в максимально короткие сроки устранила правонарушение. Меры по сохранности персональных данных приняты, контроль усилен.

Представитель Роскомнадзора по ЦФО – Б***. поддержал протокол об административном правонарушении, по доводам, изложенным представителем привлекаемого лица. По назначению наказания не возражал о назначении минимального размера штрафа, указывая, что действия обязанность по уведомлению Роскомнадзора о распространении персональных данных ИП ФИО1 исполнена.

Выслушав ФИО1, представителя Управления Роскомнадзора по Центральному федеральному округу по доверенности Б***., проверив и изучив письменные материалы дела об административном правонарушении, мировой судья приходит к следующему выводу, что вина ФИО1 в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подтверждается следующими имеющимися в материалах дела доказательствами:

- протоколом об административном правонарушении №*** от 06 октября 2023 года, составленным в соответствии с требованиями КоАП РФ, и отражающим факт совершенного правонарушения;

- уведомлениями Оператора от 22.06.2023 № *** и от 22.06.2023 № *** о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;

- скриншотом экрана базы данных, расположенной в сети «Интернет», содержащей персональные данные клиентов Оператора;

- выпиской из ЕГРИП в отношении ИП ФИО1 по состоянию на 06.10.2023г;

- свидетельством о постановке на учет в налоговом органе;

- иными доказательствами.

Достоверность вышеуказанных доказательств у суда сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой. Протокол по делу об административном правонарушении составлен в соответствии с требованиями Кодекса РФ об административных правонарушениях.

Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

Объективная сторона правонарушений по ч. 1 ст. 13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными). Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

В соответствии с п. 1 ст. 3 Федерального закона "О персональных данных" от 27 июля 2006 года N 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 2 ст. 3 Федерального закона "О персональных данных" от 27 июля 2006 года N 152-ФЗ оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 3 ст. 3 Федерального закона "О персональных данных" от 27 июля 2006 года N 152-ФЗ обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Обстоятельства, при которых допускается обработка персональных данных субъекта, закреплены ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Обработка персональных данных на основании п. 1 ст. 6 вышеуказанного Федерального закона допускается с согласия субъекта персональных данных, а также при наличии обстоятельств, указанных пп. 2 - 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Более того, оператор обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям статьи 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Согласно ст. 10.1 Закона о персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В соответствии со ст. 11 Закона сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Как установлено судом и следует из материалов дела, ИП ФИО1 допущено нарушение требований части 1 статьи 6, статьи 7, статьи 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), а именно: в ходе мониторинга электронных средств массовой информации на интернет-ресурсе: ***, выявлен факт распространения базы данных (6500 строк), содержащей персональные данные пользователей интернет - сайта *** в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес доставки.

Таким образом, суд находит установленным, что ИП ФИО1 допущено нарушение требований части 1 статьи 6, статьи 7, статьи 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), в части предоставления неправомерного доступа к базе данных, повлекшего за собой распространение персональных данных клиентов интернет-ресурса *** неограниченному кругу лиц путем размещения в сети Интернет по адресу: ***,

Оценив все собранные по делу доказательства в их совокупности, мировой судья приходит к выводу, об установлении и доказанности факта административного правонарушения и вины ИП ФИО1 в его совершении и квалифицирует административное правонарушение по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

При этом необходимо иметь в виду, что с учетом признаков объективной стороны данного административного правонарушения, оно ни при каких обстоятельствах не может быть признано малозначительным, поскольку существенно нарушает охраняемые общественные отношения в сфере обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, Такие обстоятельства, как, например, добровольное устранение последствий правонарушения, не являются обстоятельством, характеризующим малозначительность правонарушения.

Оснований для прекращения производства по делу или признания данного нарушения малозначительным, мировой судья не усматривает.

При назначении административного наказания ИП ФИО1 мировой судья учитывает фактические обстоятельства дела, характер совершенного административного правонарушения, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, и считает необходимым назначить ИП ФИО1 наказание в виде административного штрафа.

На основании изложенного и руководствуясь ст. ст. 23.1, 29.9 - 29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Признать индивидуального предпринимателя ФИО1 виновной в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ и назначить ей административное наказание в виде административного штрафа в размере 10 000 (десять тысяч) рублей.

Разъяснить, что в соответствии со ст. 32.2 КоАП РФ административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 Кодекса РФ об административных правонарушениях по следующим реквизитам:

Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с <***>), ИНН: <***>, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: <***>, Корреспондентский счет: 40102810545370000003, УИН: 0356140805006370562302644, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0637/56/2023, постановление от 09.11.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ФИО1. Судебный участок № 56 тел.: <***>, +7(495)330-33-47, +7(495)609-90-74.

Платежный документ, подтверждающий оплату административного штрафа, необходимо представить мировому судье судебного участка №56 района Теплый Стан г. Москвы (<...>) не позднее шестидесяти дней со дня вступления постановления в законную силу.

В соответствии со ст. ст. 30.1, 30.3 КоАП РФ постановление может быть обжаловано в Черемушкинский районный суд гор. Москвы в течение 10 суток со дня его вынесения или получения копии постановления через мирового судью судебного участка № 56 района Теплый Стан г. Москвы.

Мировой судья Т.Ю. Катасонова