Требование об уведомлении о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн установлено в части 3.1 ст. 21 закона «О персональных данных».
Для справки: Оператор обязан с момента выявления такого инцидента уведомить Роскомнадзор:
- в течение двадцати четырех часов - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов - о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Суть спора
В марте 2023 года был осуществлен взлом и заражение интернет-сайта Администрации Кондопожского муниципального района Республики Карелия, в связи с чем Администрация направила уведомление о неподтвержденной утечке персональных данных. Согласно проведенной проверке, инцидент выразился в заражении и порче главной страницы интернет-сайта.
Спор возник вокруг решения, вынесенного Кондопожским городским судом Республики Карелия в феврале 2024 года, когда за неуведомление о неправомерной передаче ПДн организация была наказана штрафом, - однако впоследствии факт такой передачи не подтвердился. Постановлением мирового судьи судебного участка № 2 Кондопожского района Республики Карелия (дело №12-9/2024) в феврале 2024 года Администрация Кондопожского муниципального района Республики Карелия была признана виновной в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, ей было назначено наказание в виде административного штрафа в размере 60 тыс. рублей.
В связи с тем, что факт неправомерной передачи персональных данных, повлекший нарушение прав субъектов ПДн, не подтвердился и управлением Роскомнадзора по Республике Карелия в ходе производства по делу об административном правонарушении не был доказан, Администрация просила отменить постановление по делу об административном правонарушении.
Позиция Кондопожского городского суда Республики Карелия
Суд в феврале 2024 года отметил, что в рассматриваемом случае оценка виновности Администрации в совершении вменяемого деяния предполагает выяснение обстоятельств раскрытия персональных данных без согласия субъекта ПДн.
В рамках судебного разбирательства представитель Администрации подтвердил обстоятельства заражения вредоносными программами и взлома интернет-сайта, однако обстоятельства предоставления в результате таких действий доступа третьим лицам к персональным данным 481 субъектов ПДн без их согласия оспаривал.
Администрация направила уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, указав на произошедший взлом официального сайта, неработоспособность главной страницы, на несанкционированный доступ к ПДн 481 граждан, содержащиеся в обращениях в объеме данных: ФИО, адрес, телефон, электронная почта, наименование организаций.
4 апреля 2023 года Администрация направила в Роскомнадзор результаты внутреннего расследования инцидента, который произошел из-за наличия уязвимости программного обеспечения «Битрикс» устаревшей версии. Программное обеспечение не обновлялось с декабря 2018 года из-за отсутствия лицензии на активацию техподдержки и обновления. Инцидент состоял во взломе и заражении сайте и порче главной страницы.
В ноябре 2023 года Администрация в ответ запрос управления Роскомнадзора по Республике Карелия сообщило, что вышеуказанный инцидент состоял из заражения и порчи главной страницы интернет-сайта с использованием уязвимостей необновлённого программного обеспечения, факт утечки персональных данных не подтвердился.
Суд отметил, что в данном случае не было представлено бесспорных и безусловных доказательств того, что в результате взлома и заражения сайта вредоносными программами, выразившемся в недоступности главной страницы интернет-сайта, неустановленные лица получили доступ к разделу интернет-сайта «Обращения-граждан», а, следовательно, к персональным данным граждан.
Суд подчеркнул, что сам по себе факт взлома и заражения сайта вредоносными программами не означает безусловное предоставление Администрацией неустановленным лицам доступа к персональным данным граждан, содержащимся в разделе сайта «Обращения граждан».
Суд также отметил, что уведомления, направленные Администрацией, не подтверждают в достаточной степени обстоятельства нарушения установленного порядка обработки персональных данных.
Во втором уведомлении Администрация указала на то, что произошедший инцидент состоял из заражения и порчи главной страницы интернет-сайта с использованием уязвимостей необновлённого программного обеспечения. Однако в ходе производства по делу об административном правонарушении административный орган не представил доказательства взаимосвязи между заражением и порчей главной страницы интернет-сайта Администрации и неправомерным доступом третьих лиц к персональным данным граждан, содержащимся в разделе «Обращения граждан».
По мнению суда, поскольку достоверных сведений о том, что Администраций совершены действия, выразившиеся в нарушении установленного порядка обработки ПДн, в том числе в раскрытии ПДн без согласия субъекта не имеется, совершение им вменяемого административного правонарушения доказанным признать нельзя.
Описанное в постановлении по делу об административном правонарушении событие административного правонарушения является не более чем предположением о возможности возникновения состава вменяемого лицу административного правонарушения, что недостаточно для утвердительного вывода о вине Администрации в совершении инкриминируемого противоправного деяния.
Суд удовлетворил жалобу Администрации. Постановление мирового судьи судебного участка № 2 Кондопожского района Республики Карелия было отменено, а производство по делу об административном правонарушении прекращено в связи с недоказанностью обстоятельств, на основании которых было вынесено постановление.
Судья Третьего кассационного суда общей юрисдикции в ноябре 2024 года оставил без изменения решение судьи Кондопожского районного суда Республики Карелия вынесенное в отношении Администрации Кондопожского муниципального района Республики Карелия по делу об административном правонарушении, предусмотренном частью 1 статьи 13.11 Кодекса РФ об административных правонарушениях, а жалобу руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия - без удовлетворения.
Источник: сайт Кондопожского районного суда Республики Карелия/ Консультант Плюс
https://kondopozhsky--kar.sudrf.ru/modules.php?name=sud_delo&name_op=doc&number=157904583&delo_id=1502001&new=&text_number=1
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=KSOJ003;n=132885
https://kondopozhsky--kar.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&n_c=1&case_id=153460141&case_uid=b0fe82e6-c8ff-44e5-b56e-bea7ac0c923d&delo_id=1502001&new=0
Комментариев нет:
Отправить комментарий