Дело № 12-0058/2025

Решение

3 февраля 2025 года

 

Судья Тверского районного суда адрес Криворучко А.В., с участием защитника Министерства труда и социальной защиты Российской Федерации – по доверенности фио, рассмотрев в открытом судебном заседании жалобу защитника фио на постановление по делу об административном правонарушении, вынесенное 7 августа 2024 года мировым судьей судебного участка № 369 адрес, исполняющим обязанности мирового судьи судебного участка № 370 адрес, которым Министерство труда и социальной защиты Российской Федерации признано виновным в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, и ему назначено наказание в виде штрафа в размере сумма,

 

УСТАНОВИЛ:

 

17 июня 2024 года в отношении Министерства труда и социальной защиты Российской Федерации составлен протокол об административном правонарушении АП-77/09/857 по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях.

7 августа 2024 года мировым судьей судебного участка № 369 адрес, исполняющим обязанности мирового судьи судебного участка № 370 адрес, вынесено постановление о признании Министерства труда и социальной защиты Российской Федерации виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, и назначении ему наказания в виде штрафа в размере сумма.

На указанное постановление защитником фио подана жалоба, в которой просит об отмене постановления мирового судьи и прекращении производства по делу, в связи с отсутствием в действиях Минтруда России состава административного правонарушения, поскольку Минтрудом России приняты все необходимые меры для соблюдения требований в области обработки персональных данных; приняты и полностью выполняются требования ведомственных нормативных актов, требований Федеральных законов № 142-ФЗ и 149-ФЗ. В рамках обеспечения информационной безопасности осуществляется мониторинг защищенности информационных систем Минтруда России силами ФСБ России. При рассмотрении дела мировым судьей не установлено какие именно нормы права были нарушены Минтрудом России, какие конкретно требования законодательства в сфере персональных данных Минтрудом России не были выполнены. Мировым судьей не дана оценка представленным доказательствам, в которых указано на совершение иностранными спецслужбами противоправных действий в отношении Минтруда России, который никаким образом персональные данные в сети не передавал, не публиковал и не распространял. Согласно результатам расследования сделать однозначный вывод о том, что персональные данные относятся к персональным данным, которые обрабатываются именно в информационных системах Минтруда России, невозможно. Среди распространенных в сети данных имеются сведения о гражданах и должностных лицах, которые не имеют никакого отношения к Минтруду России. Факт принадлежности данных к базам данных Минтруда России в ходе судебного разбирательства не доказан. Мировым судьей необоснованно не применены положения закона об освобождении Минтруда России от административной ответственности в связи с малозначительностью правонарушения.

В судебном заседании защитник – по доверенности фио жалобу защитника фио по приведенным в ней доводам полностью поддержала.

Выслушав доводы защитника, изучив жалобу, исследовав материалы дела об административном правонарушении, суд считает постановление мирового судьи судебного участка № 369 адрес от 7 августа 2024 года подлежащим оставлению без изменения, а жалобу защитника фио – подлежащей оставлению без удовлетворения, по следующим основаниям.

Мировым судьей правильно установлено, что 27 ноября 2023 года, в 09 часов 30 минут, Министерство труда и социальной защиты Российской Федерации, расположенное по адресу: адрес, являясь оператором персональных данных, неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих персональные сведения сотрудников Минтруда России, опубликованных в сети интернет, что по своей сути является обработкой персональных данных, которая не предусмотрена законодательством в области персональных данных и несовместима с целью сбора персональных данных. Данное правонарушение не относится к случаю, предусмотренному ч. 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях и ст. 17.13 Кодекса Российской Федерации об административных правонарушениях, а также данные действия не содержат уголовно наказуемого деяния, таким образом, Министерство труда и социальной защиты Российской Федерации совершило правонарушение, предусмотренное ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях.

Действия Минтруда России по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, квалифицированы правильно.

Вину Минтруда России в совершении указанного правонарушения, мировой судья установил путем исследования таких доказательств, как: протокол об административном правонарушении Управления Роскомнадзора по ЦФО № АП-77/09/857 от 17 июня 2024 года; уведомление на имя руководителя Управления Роскомнадзора по ЦФО о выявлении факта распространения базы данных (1400 строк), содержащих персональные данные сотрудников Министерства труда и социальной защиты Российской Федерации; уведомлением о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, согласно которому Министерство труда и социальной защиты Российской Федерации уведомляет о несанкционированном доступе третьих лиц к инфраструктуре Министерства, оценивая предполагаемый вред, нанесенный правам субъектов персональных данных как «низкий». В качестве категории таких субъектов, указано: «Сотрудники организации»; скриншоты страниц Телеграмм-каналов, опубликованные страницы; выписка из ЕГРЮЛ, свидетельства о государственной регистрации и постановке на учет Министерства труда и социальной защиты Российской Федерации, а также положение о Министерстве труда и социальной защиты Российской Федерации, из которого следует, что Министерства труда и социальной защиты Российской Федерации является оператором персональных данных.

Вопреки доводам стороны защиты, указанным доказательствам мировой судья дал надлежащую оценку, приведшую его к выводу о наличии в действиях Минтруда России состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях. Постановление мирового судьи должным образом мотивированно и обоснованно. Положенные в основу принятого мировым судьей решения доказательства относимы и допустимы. Мировой судья также пришел к обоснованному выводу о достоверности указанных доказательств.

Вопреки доводам стороны защиты, содержание исследованных мировым судьей доказательств не содержит существенных противоречий, ставящих под сомнение наличие состава и события административного правонарушения в действиях Минтруда России, а также в его виновности.

Так, в соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В связи с чем, содержание скомпрометированной базы данных относится к персональным данным клиентов оператора.

Положениями пункта 2 статьи 3 Закона установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно другими лицами организующие и (или) осуществляющие обработку персональных данных, также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Согласно пункту 3 статьи 3 Закона обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

По смыслу пункта 1 статьи 3 указанного Закона Министерство труда и социальной защиты Российской Федерации является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона в полном объеме.

Случаи, при которых допускается обработка персональных данных субъекта, закреплены ст. 6 указанного выше Закона. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 ч. 1 ст. 6 Закона. Оператор обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям ст. 7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

В силу приведенных положений обработка персональных данных включает в себя передачу (распространение, предоставление, доступ) персональных данных.

Как установлено мировым судьей, 27 ноября 2023 года, в 09 часов 30 минут, Министерство труда и социальной защиты Российской Федерации, расположенное по адресу: адрес, являясь оператором персональных данных, неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих персональные сведения сотрудников Минтруда России, опубликованных в сети интернет, что по своей сути является обработкой персональных данных, которая не предусмотрена законодательством в области персональных данных и несовместима с целью сбора персональных данных.

При этом, особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения, установлены статьей 10.1 Закона о персональных данных.

Исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанно: согласия установлены приказом Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Таким образом, в действиях Оператора выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных неограниченному кругу лиц.

Выявленное правонарушение не подпадает под действие положений части 2 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, так как обработка персональных данных сотрудников Оператора не требует согласия в письменной форме в соответствии с законодательством Российской Федерации.

Действия Минтруда России, в указанном случае, не содержат в себе признаков уголовно наказуемого деяния, а также не содержат в себе состав административного правонарушения по ст. 17.13 Кодекса Российской Федерации об административных правонарушениях.

Кроме того, согласно пункту 3 Постановления Правительства РФ от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных темах персональных данных» безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При решении вопроса о виновности юридического лица в совершении административного правонарушения мировым судьей учтено, что именно на него возлагается обязанность по доказыванию принятия всех зависящих от него мер по соблюдению правил и норм действующего законодательства, принятия всех направленных на предупреждение совершения административного правонарушения мер.

При этом защитником Минтруда России не представлено доказательств отсутствия реальной возможности исполнения требований действующего законодательства, а также принятия Минтрудом России всех зависящих от него мер по исполнению указанных требований. В данном случае оператор не обеспечил конфиденциальность информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к персональным данным в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Мировой судья пришел к обоснованному выводу о том, что доступ к персональным данным был осуществлен через инфраструктуру подрядной организации, что не снимает ответственности непосредственно с Министерства труда и социальной защиты Российской Федерации, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением такой защиты у подрядной организации.

Совокупность исследованных мировым судьей доказательств, позволила прийти к обоснованному к выводу о том, что Министерство труда и социальной защиты Российской Федерации допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, в связи с чем, действия юридического лица подлежат квалификации по ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Нарушений, влекущих за собой отмену обжалуемого постановления, мировым судьей по делу не допущено.

При назначении Минтруда России наказания, мировой судья учел данные о юридическом лице, с учетом характера и обстоятельств совершенного правонарушения, а также санкции ч. 1 ст. 13.11 КоАП РФ пришел к выводу о необходимости назначения наказания в виде штрафа, принимая во внимание указанные обстоятельства, суд считает, что наказание Министерству труда и социальной защиты Российской Федерации назначено с соблюдением требований ст. 4.1 Кодекса РФ об административных правонарушениях, в пределах санкции ч. 1 ст. 13.11 КоАП РФ, соответствует содеянному и является справедливым.

Оснований для освобождения Министерства труда и социальной защиты Российской Федерации от административной ответственности при малозначительности административного правонарушения, в соответствии со ст. 2.9 КоАП РФ, не имелось.

Руководствуясь ст.ст. 30.6 – 30.7 Кодекса РФ об административных правонарушениях, суд

 

РЕШИЛ:

 

Постановление мирового судьи судебного участка № 369 адрес, исполняющего обязанности мирового судьи судебного участка № 370 адрес от 7 августа 2024 года, которым Министерство труда и социальной защиты Российской Федерации признано виновным в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, и ему назначено наказание в виде штрафа в размере сумма – оставить без изменения, а жалобу защитника фио – без удовлетворения.

Судья Криворучко А.В.