УИД 42RS0012-01-2021-000553-35
№ 1-116/2021 № 12007320001000056
ПОСТАНОВЛЕНИЕ
Мариинский городской суд Кемеровской области
в составе председательствующего судьи Луковской М.И.,
с участием государственного обвинителя прокуратуры г.Мариинска Тарасун Ю.Г.,
подсудимого ФИО1,
защитника адвоката Даниловой Л.Ф.,
при секретаре Мироновой И.М.,
рассмотрев в открытом судебном заседании в г.Мариинске
13 мая 2021 года
материалы уголовного дела в отношении
ФИО1, <...> не судимого,
обвиняемого в совершении преступлений, предусмотренных ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ,
УСТАНОВИЛ:
ФИО1 органами предварительного расследования обвиняется в шести неправомерных доступах к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенное из корыстной заинтересованности, лицом с использованием своего служебного положения. А также в трех неправомерных доступах к охраняемой законом компьютерной информации, если это деяние повлекло модификацию компьютерной информации, совершенное из корыстной заинтересованности, лицом с использованием своего служебного положения.
ФИО1, являясь специалистом офиса продаж и обслуживания <...> используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, <...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации – сведений о персональных данных абонента <...>, на имя которого зарегистрирован абонентский <...>, при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу <...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания <...>
На основании <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания <...>
В соответствии с трудовым <...>, заключенным между АО <...> (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО <...> (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания <...>, основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО <...>;
- поддерживать требуемый уровень знаний продуктов, услуг, бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО <...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО <...>, являющегося коммерческим представителем ПАО «<...>, на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
<...>
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО <...>
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО <...>
<...><...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...> и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...> при обслуживании абонентов ПАО <...> являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО <...> и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования;
в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО <...> утвержденной приказом генерального директора ОАО «<...><...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО <...> сотрудники
ОАО <...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью,
в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением № 1 к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО <...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО <...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе;
сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО «<...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением № 1 к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество,
или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО «<...>», содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения <...> под своей учетной записью с индивидуальными и конфиденциальными логином и паролем.
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...>», охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 16 ч.57 мин. 24.04.2020 посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль <...> с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера <...> в виде фотоизображения с экрана монитора персонального компьютера ФИО1 сведения о персональных данных абонента ПАО «<...>», на имя которого зарегистрирован абонентский <...>, содержащихся в карточке данного клиента.
При этом, неустановленное лицо, использующее в Интернет-мессенджере <...> профиль <...>», владельцем либо фактическим пользователем абонентского номера <...>, не являлось. Тем самым данное неустановленное лицо склоняло ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица,
ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2
ч. 1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003
№ 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006
№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, в 17 ч.10 мин. 24.04.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте <...> используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО «<...>
«О вводе в действие документов по информационной безопасности»,
<...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «<...>», <...><...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», используя персональную учетную запись <...>, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...>» – к карточке клиента (абонента), на имя которого зарегистрирован абонентский номер <...>, в которой содержались его следующие персональные данные: З., <...>, а также отражены иные сведения об оказываемых данному абоненту услугах. После чего, ФИО1, произвел фотографирование на свой мобильный телефон <...> изображения экрана монитора используемого им служебного персонального компьютера с отображенными указанными выше персональными данными абонента ПАО «<...>» З., что повлекло копирование компьютерной информации, содержащейся в базе данных
ПАО «<...>».
В 17 ч.14 мин. 24.04.2020 ФИО1 отправил с указанного мобильного телефона посредством использования Интернет-мессенджера «<...>» фотоизображение экрана монитора с персональными данными абонента ПАО <...>» З. неустановленному лицу, использующему в Интернет-мессенджере «<...>» профиль «<...>», за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>
З., его представитель либо фактический пользователь указанного абонентского номера, <...> в офис продаж и обслуживания АО «<...>», расположенный по адресу: <...>,
<...>, по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, фотографирование (копирование) его персональных данных, содержащихся в базе данных ПАО «<...>»,
не обращались.
Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> АО <...>», используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль
<...><...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший модификацию компьютерной информации – сведений об адресе электронной почты абонента
ПАО «<...>», на имя которого зарегистрирован абонентский номер <...>, при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу в АО «<...>) на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>, заключенным между АО «<...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО <...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО <...>, основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО «<...> (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО <...> на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО <...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО <...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО <...>
от <...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...>» при обслуживании абонентов ПАО «<...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования; в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> от <...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО <...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью,
в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением <...> к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> от <...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе;
сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО «<...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением № 1 к Положению об обработке персональных данных в АО <...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО <...> фамилия, имя, отчество, или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных,
несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО «<...>», содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения «<...>» под своей учетной записью с индивидуальными и конфиденциальными логином и паролем, в том числе для выполнения своей обязанности по замене адресов электронной почты абонентов ПАО «<...>».
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...>», охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 18 ч.09 мин. 24.04.2020 посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль «<...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...>» пароль для доступа в личный кабинет абонента
ПАО «<...>», на имя которого зарегистрирован абонентский номер <...>, владельцем либо фактическим пользователем которого оно не являлось, тем самым склоняя ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица, ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи»,
ч. 1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, не позднее 18 ч.16 мин. 24.04.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте в <...> используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи и замены адреса электронной почты абонента, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО «<...> «О вводе в действие документов по информационной безопасности», <...>
«Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», используя персональную учетную запись <...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...> – к карточке клиента (абонента) А., <...>, на имя которого зарегистрирован абонентский номер <...> и сведениям об оказываемых ему услугах связи, где с целью получения на личный адрес электронной почты пароля для доступа в личный кабинет данного абонента указал принадлежащий
ФИО1 адрес электронной почты <...> и сохранил его, тем самым внеся в базу данных ПАО <...>» соответствующие изменения, что повлекло модификацию компьютерной информации, содержащейся в базе данных ПАО «МегаФон».
После этого, не позднее 18 ч.16 мин. 24.04.2020 ФИО1, воспользовавшись услугой доступа к системам самообслуживания, зарегистрировал обращение на сброс пароля для доступа в личный кабинет указанного абонента на внесенный в базу данных ПАО «<...>» фактически принадлежащий ФИО1 адрес электронной почты <...> и передал это обращение в обработку, после чего на данный адрес электронной почты ФИО1 поступил автоматически сгенерированный электронной системой пароль <...> для доступа в личный кабинет абонента А.
Полученный пароль ФИО1 в 18 ч.19 мин. 24.04.2020 отправил с принадлежащего ему мобильного телефона <...> в виде смс - сообщения посредством использования Интернет-мессенджера «<...>» неустановленному лицу, использующему в данном Интернет-мессенджере профиль «<...>», за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>
А., его представитель либо фактический пользователь указанного абонентского номера, <...> в офис продаж и обслуживания АО «<...> по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, замены адреса его электронной почты в базе данных ПАО <...> не обращались.
Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> АО «<...>», используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль
«<...>», <...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший модификацию компьютерной информации – сведений об адресе электронной почты абонента
ПАО «<...>», на имя которого зарегистрирован абонентский номер <...>, при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу <...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО «<...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>, заключенным между АО <...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО «<...>, утвержденной в АО «<...>» <...>, основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО <...> (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО «<...>, на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО «<...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО «<...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО <...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...>» при обслуживании абонентов ПАО <...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования; в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> от <...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники
ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (Viber, Whats up и др.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью,
в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением № 1 к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе; сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО «<...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением № 1 к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество,
или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных,
несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО «<...>», содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения <...>» под своей учетной записью с индивидуальными и конфиденциальными логином и паролем, в том числе для выполнения своей обязанности по замене адресов электронной почты абонентов ПАО «<...>».
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...>», охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 15 ч.14 мин. 27.04.2020 посредством переписки с использованием Интернет-мессенджера «<...> к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль <...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...>» пароль для доступа в личный кабинет абонента
ПАО «<...>», на имя которого зарегистрирован абонентский номер <...>, владельцем либо фактическим пользователем которого оно не являлось, тем самым склоняя ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица, ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи»,
ч. 1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, не позднее 16 ч.07 мин. 27.04.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль <...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте в <...> используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи и замены адреса электронной почты абонента, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО <...> «О вводе в действие документов по информационной безопасности», <...>
«Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», используя персональную учетную запись <...>, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...>» – к карточке клиента (абонента) В., <...>, на имя которого зарегистрирован абонентский номер <...> и сведениям об оказываемых ему услугах связи, где с целью получения на личный адрес электронной почты пароля для доступа в личный кабинет данного абонента указал принадлежащий
ФИО1 адрес электронной почты <...> и сохранил его, тем самым внеся в базу данных ПАО «<...>» соответствующие изменения, что повлекло модификацию компьютерной информации, содержащейся в базе данных ПАО «<...>».
После этого, в 16 ч.07 мин. 27.04.2020 ФИО1, воспользовавшись услугой доступа к системам самообслуживания, зарегистрировал обращение на сброс пароля для доступа в личный кабинет указанного абонента на внесенный в базу данных ПАО «<...>» фактически принадлежащий ФИО1 адрес электронной почты <...> и передал это обращение в обработку, после чего на данный адрес электронной почты ФИО1 поступил автоматически сгенерированный электронной системой пароль <...> для доступа в личный кабинет абонента В.
Полученный пароль ФИО1 в 16 ч.25 мин. 27.04.2020 отправил с принадлежащего ему мобильного телефона марки «<...>», в виде смс - сообщения посредством использования Интернет-мессенджера <...>» неустановленному лицу, использующему в данном Интернет-мессенджере профиль «<...>», за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>В., его представитель либо фактический пользователь указанного абонентского номера, <...> в офис продаж и обслуживания АО <...> расположенный по адресу: <...>,
<...>, по каким-либо вопросам относительно абонентского номера <...> требующих, в частности, замены адреса его электронной почты в базе данных ПАО <...>», не обращались.
4. Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> АО «<...>», используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере «<...> профиль
<...>», <...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации – сведений о персональных данных абонента ПАО «<...>»,
на имя которого зарегистрирован абонентский номер <...>,
при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу в АО <...>) на должность специалиста-стажера.
На основании приказа <...> с <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО «<...>
В соответствии с трудовым договором <...>, заключенным между АО «<...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО «<...>
основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО <...>) (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО <...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО <...>», являющегося коммерческим представителем ПАО <...>»), на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО «<...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО «<...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО <...>» <...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО <...> при обслуживании абонентов ПАО «<...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования; в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> от <...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники
ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью, в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением <...> к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе; сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО <...> «Об утверждении «Положения об обработке персональных данных в АО <...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением № 1 к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество, или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных,
несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО <...> содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения <...> под своей учетной записью с индивидуальными и конфиденциальными логином и паролем.
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...>», охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 18 ч.06 мин. <...> посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль «<...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...> в виде фотоизображения с экрана монитора персонального компьютера ФИО1 сведения о действующих абонентских номерах, зарегистрированных на имя абонента А., <...>, содержащихся в его карточке клиента ПАО <...>».
При этом, неустановленное лицо, использующее в Интернет-мессенджере «<...>» профиль «<...>», доверенным лицом, выступающим в интересах А., не являлось. Тем самым данное неустановленное лицо склоняло ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица, ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи»,
ч. 1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, в 18 ч.15 мин. 28.04.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть, действуя из личной корыстной заинтересованности, находясь на своем рабочем месте в <...>, используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО «<...> от <...> «О вводе в действие документов по информационной безопасности», <...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО <...><...><...>, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...>» – к карточке клиента (абонента) А., в которой содержались его следующие персональные данные: <...>, согласно которому на имя А. зарегистрирован абонентский номер <...>
Также в карточке были отражены иные сведения об оказываемых данному абоненту услугах. После чего, ФИО1, произвел фотографирование на свой мобильный телефон <...> изображения экрана монитора используемого им служебного персонального компьютера с отображенными указанными выше персональными данными абонента ПАО <...>А., что повлекло копирование компьютерной информации, содержащейся в базе данных
ПАО «<...>».
В 18 ч.21 мин. 28.04.2020 ФИО1 отправил с указанного мобильного телефона посредством использования Интернет-мессенджера «<...>» фотоизображение экрана монитора с персональными данными абонента ПАО «<...>» А. неустановленному лицу, использующему в Интернет-мессенджере «<...>» профиль «<...>», за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>А., его представитель либо фактический пользователь указанного абонентского номера, <...> в офис продаж и обслуживания АО «<...>», расположенный по адресу: <...>,
<...>, по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, фотографирование (копирование) его персональных данных, содержащихся в базе данных ПАО «<...>», не обращались.
5.Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> АО «<...>», используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере <...>» профиль
<...>», 28.04.2020 осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации – сведений о персональных данных абонента ПАО «<...>»,
на имя которого зарегистрирован абонентский <...>,
при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу в АО «<...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>, заключенным между АО <...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО «<...> утвержденной в АО <...>» <...>, основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО «<...>) (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО «<...>), на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО «<...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО <...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО «<...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...>» при обслуживании абонентов ПАО «<...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера «Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования;
в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники
ОАО <...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО <...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (Viber, Whats up и др.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью,
в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением № 1 к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО <...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе;
сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО «<...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением <...> к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество, или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО <...> содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения <...>» под своей учетной записью с индивидуальными и конфиденциальными логином и паролем.
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...>», охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 18 ч.29 мин. 28.04.2020 посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль «<...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...>» в виде фотоизображения с экрана монитора персонального компьютера ФИО1 сведения о действующих абонентских номерах, зарегистрированных на имя абонента М., <...>, содержащихся в его карточке клиента ПАО «<...>».
При этом, неустановленное лицо, использующее в Интернет-мессенджере <...>» профиль «<...>», доверенным лицом, выступающим в интересах М., не являлось. Тем самым данное неустановленное лицо склоняло ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица,
ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2
ч. 1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003
№ 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006
=№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, в 18 ч.40 мин. 28.04.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль <...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте <...> используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО <...> от <...>
«О вводе в действие документов по информационной безопасности»,
<...><...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «<...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО <...>», используя персональную учетную запись <...>, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...>» – к карточке клиента (абонента) М., в которой содержались его следующие персональные данные: <...>, согласно которому на имя М. зарегистрирован абонентский номер <...>. Также в карточке были отражены иные сведения об оказываемых данному абоненту услугах. После чего, ФИО1, произвел фотографирование на свой мобильный телефон <...>
<...>», изображения экрана монитора используемого им служебного персонального компьютера с отображенными указанными выше персональными данными абонента
ПАО «<...>М., что повлекло копирование компьютерной информации, содержащейся в базе данных ПАО «МегаФон».
В 18 ч.41 мин. 28.04.2020 ФИО1 отправил с указанного мобильного телефона посредством использования Интернет-мессенджера «<...>» фотоизображение экрана монитора с персональными данными абонента ПАО «<...>» М. неустановленному лицу, использующему в Интернет-мессенджере «<...>» профиль «<...>»,
за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>
М., его представитель либо фактический пользователь указанного абонентского номера, 28.04.2020 в офис продаж и обслуживания АО <...>, по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, фотографирование (копирование) его персональных данных, содержащихся в базе данных ПАО «<...>»,
не обращались.
6. Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль
«<...>», <...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший модификацию компьютерной информации – сведений об адресе электронной почты абонента
ПАО «<...>», на имя которого зарегистрирован абонентский номер <...>, при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> от <...> АО «<...>» был принят на работу в АО <...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>, заключенным между АО «<...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО «<...>, основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО «<...>) (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО «<...> на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО «<...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО «<...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО «<...>» <...> от <...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...>» при обслуживании абонентов ПАО «<...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования;
в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники
ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью,
в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением № 1 к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети <...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе;
сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО <...>», утвержденным приказом генерального директора
ОАО <...> «Об утверждении «Положения об обработке персональных данных в АО <...> персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением № 1 к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество,
или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО <...> содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения «<...>» под своей учетной записью с индивидуальными и конфиденциальными логином и паролем, в том числе для выполнения своей обязанности по замене адресов электронной почты абонентов ПАО «<...>».
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...>», охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 18 ч.57 мин. 28.04.2020 посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль <...> с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...>» пароль для доступа в личный кабинет абонента ПАО «<...>», на имя которого зарегистрирован абонентский номер <...>, владельцем либо фактическим пользователем которого оно не являлось, тем самым склоняя ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица, ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи»,
ч. 1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, не позднее 18 ч.58 мин. 28.04.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте <...>, используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи и замены адреса электронной почты абонента, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО <...> «О вводе в действие документов по информационной безопасности», <...>
«Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО <...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», используя учетную запись <...> сотрудника вышеуказанного офиса продаж и обслуживания И., неосведомленной о преступных намерениях ФИО1, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО <...>» –
к карточке клиента (абонента) Д., <...>, на имя которого зарегистрирован абонентский номер <...> и сведениям об оказываемых ему услугах связи, где с целью получения на личный адрес электронной почты пароля для доступа в личный кабинет данного абонента указал принадлежащий ФИО1 адрес электронной почты <...> и сохранил его, тем самым внеся в базу данных ПАО «<...>» соответствующие изменения, что повлекло модификацию компьютерной информации, содержащейся в базе данных ПАО «<...>».
После этого, в 18 ч.58 мин. 28.04.2020 ФИО1, воспользовавшись услугой доступа к системам самообслуживания, зарегистрировал обращение на сброс пароля для доступа в личный кабинет указанного абонента на внесенный в базу данных ПАО «<...> фактически принадлежащий ФИО1 адрес электронной почты <...> и передал это обращение в обработку, после чего на данный адрес электронной почты ФИО1 поступил автоматически сгенерированный электронной системой пароль <...> для доступа в личный кабинет абонента Д.
Полученный пароль ФИО1 в 19 ч.03 мин. 28.04.2020 отправил с принадлежащего ему мобильного телефона марки <...> в виде смс - сообщения посредством использования Интернет-мессенджера «<...>» неустановленному лицу, использующему в данном Интернет-мессенджере профиль «<...>»,
за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>
Д., ее представитель либо фактический пользователь указанного абонентского номера, 28.04.2020 в офис продаж и обслуживания АО <...> по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, замены адреса ее электронной почты в базе данных ПАО <...>», не обращались.
7. Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере <...> профиль <...><...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации – сведений о персональных данных абонента ПАО <...> на имя которого зарегистрирован абонентский <...>,
при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу в АО «<...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания <...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>, заключенным между АО «<...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО «<...> основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО «<...>) (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО «<...> на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО «<...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО «<...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО <...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО <...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...>» при обслуживании абонентов ПАО «<...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования; в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники
ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью, в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением № 1 к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО <...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе;
сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО «<...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением <...> к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество, или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО <...> содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения <...> под своей учетной записью с индивидуальными и конфиденциальными логином и паролем.
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО <...> охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 18 ч.46 мин. 17.05.2020 посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль <...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...>» в виде фотоизображения с экрана монитора персонального компьютера ФИО1 сведения о персональных данных абонента ПАО «<...>»,
на имя которого зарегистрирован абонентский <...>, содержащихся в карточке данного клиента.
При этом, неустановленное лицо, использующее в Интернет-мессенджере «<...>» профиль «<...>», владельцем либо фактическим пользователем абонентского номера <...>, не являлось. Тем самым данное неустановленное лицо склоняло ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица, ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи»,
ч. 1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, в 18 ч.46 мин. 17.05.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте <...> используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО «<...>»:
<...> «О вводе в действие документов по информационной безопасности», <...>
«Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...> от <...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», используя персональную учетную запись <...>, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...>» – к карточке клиента (абонента), на имя которого зарегистрирован абонентский номер <...>, в которой содержались его следующие персональные данные: А., <...>, а также отражены иные сведения об оказываемых данному абоненту услугах.
Не позднее 18 ч.47 мин. 17.05.2020 ФИО1, произвел фотографирование на свой мобильный телефон <...> изображения экрана монитора используемого им служебного персонального компьютера с отображенными указанными выше персональными данными абонента
ПАО <...>» А., что повлекло копирование компьютерной информации, содержащейся в базе данных ПАО «<...>». После чего, ФИО1 отправил с указанного мобильного телефона посредством использования Интернет-мессенджера «<...>» фотоизображение экрана монитора с персональными данными абонента ПАО «<...>» А. неустановленному лицу, использующему в Интернет-мессенджере «<...>» профиль <...> за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>
А., его представитель либо фактический пользователь указанного абонентского номера, <...> в офис продаж и обслуживания АО «<...> по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, фотографирование (копирование) его персональных данных, содержащихся в базе данных ПАО «<...>»,
не обращались.
8. Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...> АО «<...>», используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>», 18.05.2020 осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации – сведений о персональных данных абонента ПАО «<...>»,
на имя которого зарегистрирован абонентский номер <...>,
при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу в АО <...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>, заключенным между АО «<...>» (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО <...>, основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО <...> (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг,
бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО «<...>, на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО «<...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО «<...>»:
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО «<...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...> и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО «<...>» при обслуживании абонентов ПАО «<...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования; в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО <...>», сотрудники
ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью,
в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением <...> к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «<...>»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе; сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО <...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением <...> к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...>»: фамилия, имя, отчество, или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО «<...>», содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения «<...>» под своей учетной записью с индивидуальными и конфиденциальными логином и паролем.
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО <...> охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 18 ч.21 мин. 18.05.2020 посредством переписки с использованием Интернет-мессенджера «<...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль «<...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...>» в виде фотоизображения с экрана монитора персонального компьютера ФИО1 сведения о персональных данных абонента ПАО «<...>»,
на имя которого зарегистрирован абонентский <...>, содержащихся в карточке данного клиента.
При этом, неустановленное лицо, использующее в Интернет-мессенджере «<...> профиль «<...>», владельцем либо фактическим пользователем абонентского номера <...>, не являлось. Тем самым данное неустановленное лицо склоняло ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица,
ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003
№ 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006
№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, в 18 ч.21 мин. 18.05.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...>» профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте в Салоне связи <...>, используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личного обращения абонента, его представителя либо фактического пользователя номера) для доступа к персональным данным абонента, сведениям об оказываемых ему услугах связи, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО «<...>»:
<...> «О вводе в действие документов по информационной безопасности», <...>
«Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО <...> используя персональную учетную запись <...>, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...>» – к карточке клиента (абонента), на имя которого зарегистрирован абонентский номер <...>, в которой содержались его следующие персональные данные: О., <...>, а также отражены иные сведения об оказываемых данному абоненту услугах.
Не позднее 18 ч.24 мин. 18.05.2020 ФИО1, произвел фотографирование на свой мобильный телефон <...> изображения экрана монитора используемого им служебного персонального компьютера с отображенными указанными выше персональными данными абонента
ПАО <...>» О., что повлекло копирование компьютерной информации, содержащейся в базе данных ПАО «<...>». После чего, ФИО1 отправил с указанного мобильного телефона посредством использования Интернет-мессенджера <...>» фотоизображение экрана монитора с персональными данными абонента ПАО «<...>» О. неустановленному лицу, использующему в Интернет-мессенджере «<...>» профиль «<...>», за что получил от него денежное вознаграждение.
При этом, зарегистрированный абонент номера <...>
О., его представитель либо фактический пользователь указанного абонентского номера, <...> в офис продаж и обслуживания АО «<...>», расположенный по адресу: <...>, по каким-либо вопросам относительно абонентского номера <...>, требующих, в частности, фотографирование (копирование) его персональных данных, содержащихся в базе данных ПАО <...>
не обращались.
9. Кроме того, ФИО1, являясь специалистом офиса продаж и обслуживания <...>», используя свое служебное положение, умышленно, действуя из личной корыстной заинтересованности единым умыслом, при подстрекательстве неустановленным лицом, использующим в Интернет-мессенджере <...> осуществил неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации – сведений о персональных данных абонентов ПАО «<...>», на имя которых зарегистрированы абонентские номера <...>, при следующих обстоятельствах.
Так, ФИО1 на основании приказа <...> был принят на работу в АО «<...> на должность специалиста-стажера.
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО «<...>
На основании приказа <...> ФИО1 был переведен на должность специалиста офиса продаж и обслуживания АО <...>
В соответствии с трудовым договором <...>Т от <...>, заключенным между АО <...> (Работодатель) и ФИО1 (Работник):
- права и обязанности Работника устанавливаются трудовым законодательством РФ, Договором, локальными нормативными актами Работодателя (правилами, политиками, положениями и др.). Трудовая функция Работника конкретизируется описанием должности, индивидуальными целями и планами работы (п. 1.2);
- в соответствии с Положением о коммерческой тайне Работник обязуется во время действия Договора и в течение 3-х лет с даты его прекращения/расторжения не разглашать информацию, которая имеется в его распоряжении или станет ему известна в процессе работы и/или в связи с выполнением обязанностей, предусмотренных Договором. Работник также обязуется соблюдать конфиденциальность и воздерживаться от разглашения, предоставления доступа, выдачи или иных способов передачи таких данных и информации какой-либо третьей стороне или лицам, которые не должны иметь доступа к таким данным и информации. При попытке третьих лиц получить такую информацию Работник обязан незамедлительно поставить об этом в известность Работодателя. Работник обязуется ознакомиться под роспись со всеми локальными нормативными актами о конфиденциальной информации и коммерческой тайне в АО «<...>» (п. 7.1).
Согласно «Описанию должности. Должностной инструкции» специалиста офиса продаж и обслуживания АО «<...> основной областью ответственности ФИО1 являлись:
- в рамках действующих процедур и стандартов осуществление качественного обслуживания и консультирования Клиентов по финансовым, юридическим и другим вопросам, связанным с использованием услуг Компании и Партнеров;
- в рамках действующих процедур и стандартов осуществление обслуживания клиентов ССМ с помощью специализированных ИТ-систем Компании, ПАО «<...>) (билинговые приложения для обслуживания Клиентов), приложений Банков – партнеров и других дочерних компаний;
- поддерживать требуемый уровень знаний продуктов, услуг, бизнес-процессов Компании;
- в процессе работы руководствоваться Политиками, Процедурами и Инструкциями, касающимися своей деятельности.
Кроме того, в соответствии с вышеуказанным «Описанием должности. Должностной инструкцией» специалиста офиса продаж и обслуживания
АО «<...> ФИО1 был осведомлен о том, что требования должностной инструкции являются обязательными для сотрудника, работающего в данной должности с момента его ознакомления с ней под роспись и до перемещения на другую должность или увольнения, и что он несет ответственность в соответствии с действующим законодательством:
- за неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящим должностным описанием;
- за правонарушения, совершенные в период осуществления своей деятельности;
- за разглашение сведений, составляющих служебную и/или коммерческую тайну Компании.
На основании локальных нормативных документов АО «<...>», являющегося коммерческим представителем ПАО «<...>, на ФИО1 были возложены обязанности по обслуживанию потенциальных и действующих абонентов
ПАО <...>».
При этом, ФИО1 были достоверно известны следующие положения, закрепленные в локальных нормативных актах АО <...>
1. В соответствии со Стандартом классификации информационных активов по степени конфиденциальности, утвержденного приказом генерального директора ОАО «<...>
от <...> «О вводе в действие документов по информационной безопасности», все информационные активы Компании разделены по степеням конфиденциальности, в частности, на сведения конфиденциального характера и что все типы обрабатываемых в Компании данных, относящихся к сведениям конфиденциального характера должны иметь степень «Конфиденциально» или «Строго конфиденциально».
Доступ к информации со степенью «Конфиденциально» предоставляется только при производственной необходимости. Сведения конфиденциального характера не могут быть переданы за пределы компании без разрешения владельца этих сведений или высшего руководства компании и согласования безопасности Доступ к информации со степенью «Строго конфиденциально» имеет узкий круг сотрудников компании. Информация не может быть передана за пределы компании без разрешения высшего руководства компании и согласования безопасности.
Типы сведений конфиденциального характера:
- персональные данные, которыми является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Компания обязана не раскрывать эту информацию третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом;
- сведения об абонентах ПАО «<...>» и оказываемых им услугах связи. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Сведения об абонентах и оказываемых им услугах связи, ставшие известными сотрудникам Компании в соответствии с ГДС с ПАО <...> при обслуживании абонентов ПАО <...>», являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. К сведениям об абонентах относятся, в частности, фамилия, имя, отчество или псевдоним абонента-гражданина, а также адрес абонента, абонентские номера и другие данные, позволяющие идентифицировать абонента, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Сведения об абонентах ПАО «<...>» и оказываемых им услугах связи отнесены к типу сведений конфиденциального характера
«Строго конфиденциально». Персональные данные отнесены к типу сведений конфиденциального характера «Конфиденциально».
Для защиты классифицированной информации при ее передаче Компания устанавливает следующие требования безопасности: в отношении информации со степенью «Конфиденциально» передача производится по доверенным каналам передачи данных либо с использованием протоколов шифрования; в отношении информации со степенью «Строго конфиденциально» передача производится с использованием протоколов шифрования.
Пользователи - сотрудники Компании, которым предоставлен доступ в ИС Компании, исполняют требования Стандарта, несут ответственность за нарушение требований Стандарта в соответствии с действующим законодательством Российской Федерации и нормативными документами Компании, в рамках которых могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
2. В соответствии с Инструкцией по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», утвержденной приказом генерального директора ОАО «<...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально»,
«Строго конфиденциально» в ОАО «<...>», сотрудники
ОАО «<...>» обязаны:
- хранить в тайне сведения, отнесенные к конфиденциальной информации (далее - КИ), ставшие им известными при выполни своих обязанностей во время действия трудового договора;
- выполнять требования приказов, инструкций и положений по обеспечению сохранности конфиденциальной информации, а также порядок подготовки, размножения, хранения и пересылки конфиденциальных документов;
- знать, какие конкретно сведения подлежат защите (согласно классификации информационных активов по степени конфиденциальности), соблюдать правила пользования ими;
- не использовать конфиденциальную информацию в своих личных целях;
- сохранять конфиденциальную информацию организации и частных лиц, с которыми Общество имеет деловые отношения;
- немедленно сообщать в подразделение экономической безопасности ОАО «<...>» в случае попытки посторонних лиц получить от сотрудника сведения о конфиденциальной информации.
Сотрудники общества вправе знакомиться со сведениями, составляющими конфиденциальную информацию - в рамках их функциональных обязанностей, а также данных руководством поручений.
Сотрудникам ОАО «<...>» запрещается:
- пересылать конфиденциальную информацию с помощью незащищенных каналов связи, например, с использованием социальных сетей и мессенджеров (<...>.);
- разглашать КИ независимо от ее формы представления третьим лицам;
- предпринимать попытки доступа и осуществлять доступ к сведениям, составляющим КИ, при отсутствии служебной необходимости, согласованной с руководителем;
- снимать копии с документов и других носителей, содержащих информацию, составляющую КИ, без служебной необходимости, в том числе производить фотографирование конфиденциальных документов;
- использовать такую информацию при занятии другой деятельностью, в том числе при работе в иных организациях, а также в личных целях.
Разглашение КИ, утрата ее носителей, передача третьим лицам, публикация без должного согласования с руководством Общества, нарушение режима при работе с носителями КИ, а также использование для занятий любой деятельностью, которая может нанести ущерб Обществу, влечет административную, гражданско-правовую, уголовную или иную ответственность в соответствии с действующим законодательством.
Приложением № 1 к Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «<...>», установлено, что:
- для сведений о принадлежности номера мобильного телефона, лицевого счета с указанием фамилии, имени, отчества лица, места его жительства, паспортных данных физических лиц, определена степень конфиденциальности – «Строго конфиденциально»;
- другой информации об абонентах персонального характера (подключенные услуги, тарифный план, любимые номера, статистика обращений абонента и т.п.), определена степень конфиденциальности – «Конфиденциально».
3. В соответствии с Инструкцией по безопасности, утвержденной приказом генерального директора ОАО «<...> «Об утверждении инструкции по безопасности», сотрудникам запрещается не только публиковать, распространять и осуществлять доступ, но и предпринимать попытки доступа к сведениям, составляющим коммерческую тайну, при отсутствии служебной необходимости в таковых сведениях, согласованной с руководителем.
Сотрудникам ССМ категорически запрещено предоставлять всю внутреннюю информацию о Компании, в том числе иную информацию, относящуюся к коммерческой тайне.
Сведения об Абонентах и оказываемых им услугах связи являются конфиденциальной информацией, а именно: фамилия, имя, отчество Клиента; домашний адрес; данные паспорта; сведения об оказании Клиенту услуг сотовой связи; наличие номеров телефонов, принадлежащих Абоненту; является ли человек Абонентом сети «МегаФон»; любые другие сведения о Клиенте.
Сотрудникам ССМ необходимо обеспечивать конфиденциальность персональных данных Клиентов, как в электронном, так и в бумажном виде (заявления, детализация, инфокарта и тд.). Нельзя копировать, собирать, хранить, использовать, передавать третьим лицам конфиденциальную информацию в бумажном или электронном виде, кроме случаев, когда эти действия явно прописаны в процедурах обслуживания.
Информацию о детализации счета Клиента, личные данные Абонентов запрещено просматривать, копировать, собирать в личных целях и предоставлять третьим лицам. Данные действия являются нарушением законодательства РФ и могут повлечь за собой административную или уголовную ответственность.
Любое обслуживание Абонента с использованием данных, полученных в информационных системах <...> (SBMS, Клиенты, интерфейс сброса пароля, Сервис Гид и т.п.) должно производиться только при личном визите Абонента в салон (либо визите его доверенного лица). Заочное обслуживание Абонентов, либо обслуживание по телефону, электронной почте и т.п. запрещено (нарушение влечет за собой Уголовную ответственность, согласно законодательству РФ).
При запросе сведений об Абоненте сотруднику ССМ необходимо: попросить Абонента предъявить паспорт или иной документ, удостоверяющий личность; сверить данные в документе с данными в системе; сверить фотографию в документе; в случае если запрос идет от доверенного лица Абонента, то попросить предъявить нотариально заверенную доверенность или приравненную к ней; проверить подлинность доверенности; предоставить информацию Абоненту только в случае полного совпадения всех проверенных данных; в случае если данные не совпадают, необходимо отказать Абоненту в предоставлении информации и сообщить об этом сотрудникам по безопасности.
В случаях попыток получения конфиденциальной информации посторонними лицами, необходимо немедленно проинформировать Управляющего ССМ, Территориального Менеджера и ответственного сотрудника по безопасности филиала.
Сотрудник несет ответственность за все действия, совершенные в системе под его логином.
Информационные системы (ИС) должны использоваться исключительно по своему предназначению для достижения бизнес-целей Компании.
Порядок и действия сотрудников ССМ, осуществляющих подключение и обслуживание Абонентов, определены и регламентированы нормативными документами Компании.
Сотрудникам ССМ запрещается расторжение или переоформление договоров, замена SIM карт, разблокирование номеров и прочих услуг с нарушением процедур и алгоритмов обслуживания Абонентов.
Все действия сотрудников ССМ при подключении и обслуживании Абонентов должны быть выполнены в соответствии с процедурами и алгоритмами обслуживания и при необходимости подтверждены документами, заверенными подписями Абонентов.
Сотрудники ССМ несут ответственность за: сокрытие информации о совершенных противоправных действиях и их последствиях; невыполнение требований настоящей Инструкции.
4. В соответствии с Положением об обработке персональных данных в АО «<...>», утвержденным приказом генерального директора
ОАО «<...> «Об утверждении «Положения об обработке персональных данных в АО «<...>», персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Персональная ответственность за выполнение требований по обработке и обеспечению безопасности персональных данных возложена на руководителей структурных подразделений и сотрудников компании, осуществляющих обработку персональных данных.
Приложением № 1 к Положению об обработке персональных данных в АО «<...>» определен перечень обрабатываемых персональных данных Абонентов – физических лиц, с которыми заключается договор на оказание услуг связи компанией ПАО «<...> фамилия, имя, отчество, или псевдоним; дата и место рождения; контактный телефон; реквизиты документа, удостоверяющего личность; место жительства; др. данные, позволяющие идентифицировать абонента.
Сотрудники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Для выполнения своих служебных обязанностей ФИО1 был наделен правом доступа к базе данных оператора мобильной связи
ПАО «<...>», содержащей персональные данные абонентов и иные сведения, связанные с оказанием им услуг связи, посредством использования штатного программного обеспечения «<...>» под своей учетной записью с индивидуальными и конфиденциальными логином и паролем.
Персональные данные абонентов, сведения об оказании абонентам услуг связи и иные сведения, содержащиеся в базе данных ПАО «<...> охраняются ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи», ч.1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», о чем ФИО1 был осведомлен в силу занимаемой должности и рода осуществляемой им служебной деятельности.
Не позднее 19 ч.00 мин. 19.05.2020 посредством переписки с использованием Интернет-мессенджера <...>» к ФИО1 обратилось неустановленное лицо, использующее в данном Интернет-мессенджере профиль «<...>», с просьбой за материальное вознаграждение неправомерно получить и предоставить ему в его профиль Интернет-мессенджера «<...> в виде фотоизображений с экрана монитора персонального компьютера ФИО1 сведения о персональных данных абонентов ПАО «<...>
на имена которых зарегистрированы абонентские номера <...>, содержащиеся в карточках данных клиентов.
При этом, неустановленное лицо, использующее в Интернет-мессенджере «<...>» профиль <...>», владельцем либо фактическим пользователем абонентских номеров <...>, не являлось. Тем самым данное неустановленное лицо склоняло ФИО1 к совершению преступления.
В результате указанного предложения неустановленного лица, ФИО1, осведомленный о требованиях ст.23 Конституции РФ, п.п. 1, 2 ч.1 ст.6, ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ч.1 ст.53 Федерального закона от 07.06.2003 № 126-ФЗ «О связи»,
ч. 1 и ч.2 ст.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также об указанных выше требованиях локальных нормативных актов АО «<...>», осознавая общественную опасность и противоправный характер таких действий, умышленно дал на это свое согласие.
После чего, в 18 ч.51 мин., в 18 ч.56 мин. и в 18 ч.57 мин. 19.05.2020 ФИО1, склоненный неустановленным лицом, использующим в Интернет-мессенджере «<...> профиль «<...>» к совершению преступления путем подстрекательства, желая оказать ему услугу в соответствии с ранее достигнутой с ним договоренностью, то есть действуя из личной корыстной заинтересованности, находясь на своем рабочем месте в Салоне связи <...> используя свое служебное положение специалиста офиса продаж и обслуживания, умышленно, не имея законных оснований (личных обращений абонентов, их представителей либо фактических пользователей номеров) для доступа к персональным данным абонентов, сведениям об оказываемых им услугах связи, действуя противоправно в нарушение требований должностной инструкции, приказов генерального директора ОАО «<...> «О вводе в действие документов по информационной безопасности», <...> «Об утверждении Инструкции по организации работы с документами ограниченного доступа с грифом «Конфиденциально», «Строго конфиденциально» в ОАО «<...> «Об утверждении инструкции по безопасности», <...> «Об утверждении «Положения об обработке персональных данных в АО <...>», используя учетную запись <...> сотрудника вышеуказанного офиса продаж и обслуживания И., неосведомленной о преступных намерениях ФИО1, поочередно осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в базе данных ПАО «<...> – к карточкам клиентов (абонентов), на имена которых зарегистрированы, соответственно, абонентские номера <...>, в которых содержались их следующие персональные данные:
- А., <...> а также отражены иные сведения об оказываемых зарегистрированному клиенту абонентского номера <...> услугах;
- М., <...>, а также отражены иные сведения об оказываемых зарегистрированному клиенту абонентского номера <...> услугах;
- Р., <...> а также отражены иные сведения об оказываемых зарегистрированному клиенту абонентского номера <...> услугах.
Не позднее 19 ч.00 мин. 19.05.2020 ФИО1 поочередно произвел фотографирование на свой мобильный телефон <...> изображения экрана монитора используемого им служебного персонального компьютера с отображенными указанными выше персональными данными абонентов
<...>А., М. и Р., что повлекло копирование компьютерной информации, содержащейся в базе данных
<...> После чего, ФИО1 отправил с указанного мобильного телефона посредством использования Интернет-мессенджера «<...> фотоизображения экрана монитора с персональными данными абонентов
<...>» А., М. и Р. неустановленному лицу, использующему в Интернет-мессенджере «<...>» профиль «<...>».
При этом, зарегистрированные абоненты номеров <...>А., М. и Р., их представители либо фактические пользователи указанных абонентских номеров, 19.05.2020 в офис продаж и обслуживания АО <...> расположенный по адресу: <...>,
<...>, по каким-либо вопросам относительно абонентских номеров <...>, требующих, в частности, фотографирование (копирование) их персональных данных, содержащихся в базе данных
ПАО <...> не обращались.
В судебном заседании защитник подсудимого адвокат Данилова Л.Ф. просила прекратить уголовное дело в отношении ФИО1 с назначением ему судебного штрафа, поскольку он обвиняется в совершении преступления средней тяжести, ранее не судим, активно способствовал раскрытию и расследованию преступления, вину признает, в содеянном раскаивается, характеризуется положительно, с прекращением уголовного преследования и назначением меры уголовно-правового характера в виде судебного штрафа согласен. Поскольку ущерб по делу не установлен, потерпевшими никто не признан, в счет возмещения вреда ФИО1 внесено на счет МБОУ <...> 5000 рублей.
Подсудимый ФИО1 поддержал ходатайство защитника, согласился с прекращением уголовного дела и назначением судебного штрафа. Дополнительно пояснил, что вину свою в совершенном преступлении признает, искренне раскаивается, в дальнейшем не намерен совершать преступлений, причиной совершения преступлений было тяжелое материальное положение и необдуманность своих действий. Судебный штраф намерен оплатить за счет имеющихся денежных средств.
Государственный обвинитель Тарасун Ю.Г. возражала против удовлетворения ходатайства защитника, поскольку передача подсудимым денежных средств детскому саду с учетом характера и степени общественной опасности совершенных преступлений не свидетельствует о возмещении вреда, потому отсутствуют юридически значимые обстоятельства для удовлетворения ходатайства защитника.
Суд, рассмотрев ходатайство защитника, заслушав подсудимого, государственного обвинителя, пришел к следующему.
Согласно ст.76.2 УК РФ лицо, впервые совершившее преступление небольшой или средней тяжести, может быть освобождено судом от уголовной ответственности с назначением судебного штрафа в случае, если оно возместило ущерб или иным образом загладило причиненный преступлением вред.
Согласно абз 7 п.2.1 Постановления Пленума Верховного Суда РФ от 27.06.2013 N 19 (ред. от 29.11.2016) "О применении судами законодательства, регламентирующего основания и порядок освобождения от уголовной ответственности" под заглаживанием вреда (часть 1 статьи 75, статья 76.2 УК РФ) понимается имущественная, в том числе денежная, компенсация морального вреда, оказание какой-либо помощи потерпевшему, принесение ему извинений, а также принятие иных мер, направленных на восстановление нарушенных в результате преступления прав потерпевшего, законных интересов личности, общества и государства.
В соответствии с ч.1 ст.25.1 УПК РФ суд в случаях, предусмотренных статьей 76.2 УК РФ, вправе прекратить уголовное дело в отношении лица, обвиняемого в совершении преступления небольшой или средней тяжести, если это лицо возместило ущерб или иным образом загладило причиненный преступлением вред, и назначить данному лицу меру уголовно-правового характера в виде судебного штрафа.
Суд считает, что обвинение, с которым согласился ФИО1 обоснованно, подтверждается доказательствами, собранными по уголовному делу.
С данным обвинением подсудимый полностью согласен, активно способствовал раскрытию и расследованию преступлений, не оспаривал доказательства. При выполнении требований ст.217 УПК РФ в присутствии защитника им добровольно заявлено ходатайство о рассмотрении уголовного дела в особом порядке принятия судебного решения.
В судебном заседании установлено, что ФИО1 впервые обвиняется в совершении преступлений средней тяжести, не судим, к административной ответственности не привлекался, вину свою признал, раскаялся в содеянном. ФИО1 проживает с родителями, трудоустроен, по месту жительства и работы характеризуется положительно. В качестве добровольного пожертвования им оказана материальная помощь МБДОУ. Подсудимый согласен на прекращение уголовного дела и назначении меры уголовно-правового характера в виде судебного штрафа. Таким образом, все условия, предусмотренные ст.76.2 УК РФ и ст.25.1 УПК РФ, соблюдены.
Учитывая обстоятельства совершения ФИО1 преступлений, полное признание им вины и активное способствование раскрытию и расследованию преступлений, его отношение к содеянному и поведение после совершения деяний, а также добровольное пожертвование, суд приходит к выводу, что ФИО1 иным образом загладил причиненный от его действий вред, потому возражения государственного обвинителя находит несостоятельными.
При указанных обстоятельствах суд считает возможным прекратить уголовное дело в отношении ФИО1
С учетом тяжести совершенного преступления, имущественного положения ФИО1, с учетом возможности получения им заработной платы или иного дохода, суд считает возможным определить размер штрафа в сумме 50 тысяч рублей, с его уплатой в срок до 01 августа 2021 года.
На основании изложенного и, руководствуясь ст.ст. 25.1, 254, 446.3 УПК РФ, ст.76.2 УК РФ,
ПОСТАНОВИЛ:
Прекратить уголовное дело в отношении ФИО1, обвиняемого в совершении преступлений, предусмотренных ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ.
Назначить ФИО1 меру уголовно-правового характера в виде судебного штрафа в размере 50 000 (пятьдесят тысяч) рублей с его уплатой в срок до 01 августа 2021 года, согласно следующих банковских реквизитов: УФК по Кемеровской области (УФСБ России по Кемеровской области - Кузбассу) л/с <***>, ИНН/КПП <***>/420501001, сч. № 40101810400000010007 в Отделении Кемерово, БИК 043207001, ОКТМО 32000000, КБК 189 1 16 21010 01 6000 140.
Разъяснить ФИО1, что в случае неуплаты судебного штрафа в установленный судом срок судебный штраф отменяется, и ФИО1 привлекается к уголовной ответственности по ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ, ч.3 ст.272 УК РФ. Разъяснить ФИО1, что он обязан в течение 10 дней после истечения срока, установленного для уплаты судебного штрафа, представить сведения об уплате судебного штрафа судебному приставу-исполнителю.
Меру процессуального принуждения в виде обязательства о явке ФИО1 оставить прежней до вступления постановления в законную силу.
<...>
Настоящее постановление может быть обжаловано в апелляционном порядке в судебную коллегию по уголовным делам Кемеровского областного суда через Мариинский городской суд в течение 10 суток со дня его вынесения.
Судья - М.И.Луковская