Гражданский кодекс часть 1

Центральный районный суд г. Кемерово Кемеровской области в составе судьи Трефиловой О.А., рассмотрев в открытом судебном заседании жалобу защитника ООО «Эгида» – Сукиасян И.А. на постановление мирового судьи судебного участка № 6 Центрального судебного района г. Кемерово, и.о. мирового судьи судебного участка № 4 Центрального судебного района г. Кемерово от 17.11.2023 по делу об административном правонарушении, предусмотренном ч.1 ст. 13.11 КРФобАП, в отношении ООО «Эгида»,

У С Т А Н О В И Л :

Постановлением мирового судьи судебного участка N 6 Центрального судебного района г. Кемерово, и.о. мирового судьи судебного участка № 4 Центрального судебного района г. Кемерово от 17 ноября 2023 года ООО «Эгида» признано виновной в совершении административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ, подвергнута административному наказанию в виде административного штрафа в размере 60 000 рублей.

Не согласившись с вышеуказанным постановлением, ООО «Эгида» обратилось в суд с жалобой, в которой просит постановление отменить, производство по делу прекратить за отсутствием состава административного правонарушения, указав, что в материалах дела отсутствуют доказательства вины общества во вмененном ему правонарушении, причинами нарушения прав субъектов персональных данных являются хищение базы данных, а именно постороннее вмешательство в систему ### «Эгида» (хакерская атака), ООО «Эгида» предприняло меры, направленные на защиту персональных данных сотрудников ООО «Эгида», а именно заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем б/н от **.**.**** с ИП ЛИЦО_3, который согласно пп. 2 п.1 дополнительного соглашения ### от **.**.**** к договору обязан был осуществлять полное обслуживание инфраструктуры ИТ Заказчика в связи с чем защиту персональных данных сотрудников ООО «Эгида» осуществлял ИП ЛИЦО_3.

В судебном заседании защитника ООО «Эгида» – Сукиасян И.А. доводы, изложенные в жалобе поддержала, пояснила, что ООО «Эгида» не имело умысла на совершение административного правонарушения, предусмотренного ч.1 ст. 13.11. КОАП РФ, Управление Роскомнадзора по Кемеровской области - Кузбассу стало известно о предоставлении неправомерного доступа к базе данных Оператора, содержащей персональные данные клиентов, неопределенному кругу лиц только ввиду добросовестности ООО «Эгида», которое во исполнение требований действующего законодательства направило уведомление в Роскомнадзор.

Представитель Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области – Кузбассу по доверенности от 10.01.2024 года № 1-Д ФИО1 в судебном заседании возражала против удовлетворения жалобы, пояснив, что ООО «Эгида» в нарушении положений ст. 18.1, 19 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» (далее Федеральный закон № 152-ФЗ) не предприняло достаточных правовых, организационных и технических мер для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, распространения персональных данных, от неправомерных действий в отношении персональных данных. Вина ООО «Эгида» заключается в обработке персональных данных в случаях, не предусмотренных законодательством РФ, что образует состав административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ. Согласия на проведение указанного действия субъектом персональных данных дано не было. Договор на оказание услуг по сопровождению и технической поддержке информационных систем с ИП ЛИЦО_5 не содержит в себе услуги по технической защите конфиденциальной информации, ООО «Эгида» ошибочно полагает, что ответственность за данные нарушения несет ИП ЛИЦО_5. Действия ООО «Эгида» по добровольному обращению в Роскомнадзор не свидетельствуют об отсутствии вины юридического лица, так как в данном случае юридическое лицо действовало добросовестно и во исполнение требований ч. 3.1 ст. 21 Федерального закона № 152-ФЗ, которая обязывает уведомить уполномоченный орган в случае установления факта неправомерной передачи персональных данных.

Ведущий специалист-эксперт ОЗПДн Управления Роскомнадзора по Кемеровской области – Кузбассу ЛИЦО_6 в судебном заседании возражала против удовлетворения жалобы, просила постановление по делу об административном правонарушении мирового судьи судебного участка № 6 Центрального судебного района г. Кемерово, и.о. мирового судьи судебного участка № 4 Центрального судебного района г. Кемерово от 17.11.2023 оставить без изменения, жалобу ООО «Эгида» без удовлетворения.

Выслушав участников процесса, оценив доводы жалобы, исследовав материалы дела, судья приходит к следующему.

Согласно части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

Объектом данных административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

В силу ч. 1, ч. 3 ст. 3 Федерального закона № 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 6 Федерального закона № 152-ФЗ обязательным условием обработки персональных данных является получение согласия субъекта персональных данных на обработку.

В соответствии со ст. 7 Федерального закона N 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии с ч. 1 ст. 9 Федерального закона N 152-ФЗ о персональных данных согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным.

Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (ч. 3 ст. 9 Федерального закона N 152-ФЗ).

Более того, ст. 10.1 Федерального закона № 152-ФЗ предусматривает особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.

Согласно части 1 указанной статьи согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Из материалов дела следует, что Управлением Роскомнадзора по Кемеровской области-Кузбассу на основании сообщения ООО «Эгида» о факте неправомерной или случайной передачи персональных данных сотрудников и в соответствии с п.1 ч. 3.5 ст. 28.1 КоАП РФ без проведения контрольных мероприятий возбуждено дело об административном правонарушении, предусмотренном ч.1 ст. 13.11 КоАП РФ и составлен протокол об административном правонарушении от 23.10.2023 № АП-42/4/763, предусмотренном ч.1 ст. 13.11 КоАП РФ, в отношении ООО «Эгида».

Факт совершения ООО «Эгида» административного правонарушения, ответственность за которое установлена ч. 1 ст. 13.11 КоАП РФ, подтверждается собранными по данному делу доказательствами: протоколом об административном правонарушении от 23.10.2023 № АП-42/4/763; уведомлением о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, выпиской ЕГРН.

Оценив представленные доказательства всесторонне, полно, объективно, в их совокупности, в соответствии с требованиями статьи 26.11 Кодекса Российской Федерации об административных правонарушениях мировой судья пришел к обоснованному выводу о виновности ООО «Эгида» в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ.

Из материалов дела следует, что ООО «Эгида» в силу положений ст. 6 Федерального закона N 152-ФЗ вправе осуществлять обработку персональных данных в случае, если обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

При этом статьей 7 Федерального закона N 152-ФЗ установлен запрет на раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Между тем, ООО «Эгида», являясь фактическим оператором и исполняя функции по обработки персональных данных в нарушение положений ч.1 ст. 6, ст. 7 и ст. 10.1 Федерального закона № 152-ФЗ допустило предоставление неправомерного доступа к базе данных ООО «Эгида», повлекшее за собой распространение персональных данных сотрудников ООО «Эгида» неограниченному кругу лиц. Согласия на проведение указанного действия субъектом персонального данных дано не было.

Указанные обстоятельства, вопреки доводам жалобы, свидетельствуют о наличии в действиях ООО «Эгида» объективной стороны состава административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ.

Оснований для иной оценки представленных в материалы дела доказательств и установленных выводов о наличии состава административного правонарушения, не имеется.

Довод жалобы о том, что ООО «Эгида» не установлена вина в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ является необоснованным, поскольку объективная сторона правонарушения состоит в нарушении требований законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными). При этом согласно п. 3 и п. 5 ст. 3 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Доводы жалобы о том, что защиту персональных данных сотрудников ООО «Эгида» осуществлял ИП ЛИЦО_3, с которым был заключен договор на оказание услуг по сопровождению и технической поддержке информационных систем, что причинами нарушения прав субъектов персональных данных является постороннее вмешательство в систему 1С ООО «Эгида» (хакерская атака) необоснованы, поскольку являются только подтверждением факта неисполнения ООО «Эгида» обязанности, предусмотренной ст. 7 Федерального закона № 152-ФЗ не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных, а также подтверждением неисполнения или ненадлежащего исполнения обязательств по договору ИП ЛИЦО_3.

В рассматриваемом случае ООО «Эгида» не приняло все зависящие от него меры по соблюдению требований законодательства о персональных данных. При достаточной степени заботливости и осмотрительности, заведомой осведомленности о требованиях закона, обязательности применимости закона и ответственности за невыполнение закона ООО «Эгида» могло и должно было обеспечить выполнение требований действующего законодательства. Однако не были приняты все зависящие меры по их исполнению.

Доказательств невозможности соблюдения требований законодательства, которые ООО «Эгида» не могло предвидеть и предотвратить при соблюдении обычной степени заботливости и осмотрительности, не представлено.

Каких-либо неустранимых сомнений по делу, которые должны толковаться в пользу ООО «Эгида» судом не установлено.

При назначении ООО «Эгида» административного наказания мировым судьей требования статей 3.1, 3.5, 4.1 - 4.3 Кодекса Российской Федерации об административных правонарушениях соблюдены. Наказание назначено в пределах санкции части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, является обоснованным и справедливым.

На основании изложенного, руководствуясь ст. ст. 30.1 - 30.8 Кодекса Российской Федерации об административных правонарушениях, судья

Р Е Ш И Л :

постановлени мирового судьи судебного участка N 6 Центрального судебного района г. Кемерово, и.о. мирового судьи судебного участка № 4 Центрального судебного района г. Кемерово от 17 ноября 2023 года по делу об административном правонарушении, предусмотренном ч.1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, в отношении ООО «Эгида» - оставить без изменения, жалобу защитника ООО «Эгида» - Сукиасян И.А.. – без удовлетворения.

Решение вступает в законную силу немедленно, может быть обжаловано в Восьмой кассационный суд общей юрисдикции в порядке ст.30.14 КоАП РФ.

Судья О.А. Трефилова