Решение от 30 ноября 2025 г. по делу № А56-82945/2025Арбитражный суд города Санкт-Петербурга и Ленинградской области 191124, Санкт-Петербург, ул. Смольного, д.6 http://www.spb.arbitr.ru Именем Российской Федерации Дело № А56-82945/2025 01 декабря 2025 года г.Санкт-Петербург Резолютивная часть решения объявлена 15 октября 2025 года. Полный текст решения изготовлен 01 декабря 2025 года. Арбитражный суд города Санкт-Петербурга и Ленинградской области в составе: судьи Золотаревой Я.В., при ведении протокола судебного заседания секретарем Нохриной Е.С., рассмотрев в судебном заседании дело по заявлению: заявитель: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному Федеральному округу (190098, г.Санкт-Петербург, вн.тер.г. муниципальный округ Адмиралтейский округ, Галерная ул., д.27, лит.А; ОГРН: <***>, дата регистрации: 26.07.2004, ИНН: <***>), заинтересованное лицо: публичное акционерное общество «Ростелеком» (191167, г.Санкт-Петербург, вн.тер.г. муниципальный округ Смольнинское, Синопская наб., д.14; лит.А, ОГРН: <***>, дата регистрации: 09.09.2002, ИНН: <***>), о привлечении к административной ответственности по части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, при участии: от заявителя – ФИО1, доверенность от 02.06.2025, служебное удостоверение, от заинтересованного лица – ФИО2, доверенность от 13.03.2025, паспорт, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному Федеральному округу (далее – заявитель, Управление) обратилось в Арбитражный суд города Санкт-Петербурга и Ленинградской области с заявлением о привлечении публичного акционерного общества «Ростелеком» (далее – заинтересованное лицо, Общество) к административной ответственности, предусмотренной частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ). В судебном заседании заявитель поддержал заявленные требования. Заинтересованное лицо возражало против удовлетворения требований по основаниям, изложенным в отзыве на заявление, считая, что отсутствует его вина в совершенном правонарушении, состав вменяемого административного правонарушения Управлением не доказан, а срок давности привлечения к административной ответственности истек. В дополнительных письменных пояснениях Общество указало на то, что на момент совершения деяний они не считались административным правонарушением. Исследовав представленные доказательства, заслушав представителя заявителя, суд установил следующее. Управление в ходе мониторинга сети «Интернет» выявлен факт наличия базы данных Общества (оператора), содержащей персональные данные пользователей оператора, на интернет-сайте по адресу: https://t.me/c/1720638765/4719 в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты, сведения о трудовой деятельности, сведения об образовании, возраст, адрес места жительства, сведения о семейной положении. Управление на основании части 1 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ, Закон о персональных данных) и пункта 1 части 3 статьи 23 Закона о персональных данных, Положения об Управлении, утвержденного приказом Роскомнадзора от 25.01.2016 № 43, являясь уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Закона, вправе запрашивать у юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. В рамках реализации своих полномочий Управлением в адрес Общества направлены Уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных от 24.01.2025 № 6692324 и от 22.01.2025 № 6689645. Как следует из материалов дела, предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является компрометация инфраструктуры подрядчика заявителя, ООО «КьюСофт». Договорные отношения между заявителем и ООО «КьюСофт» предусматривали развитие и техническое сопровождение ряда интернет-порталов, в том числе порталов company.rt.ru и zakupki.rostelecom.ru. – характеристики персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона. Управлением в отношении Общества в период с 16.06.2025 по 27.06.2025 проведена внеплановая выездная проверка, в рамках которой Обществом представлена информация об информационной системе персональных данных (ИСПДн) в оболочке «1С-Битрикс: Управления сайтом» сайт zakupki.rostelecom.ru и сайт company.rt.ru, используемых заявителем для обработки персональных данных такой категории субъектов, как пользователи сайтов. ИСПДн Общества (оператора) сайт zakupki.rostelecom.ru является официальным порталом закупок Ростелеком, содержащим информацию о закупках, нормативных документах, а также личный кабинет для сотрудников Департамента управления закупками. Управлением по результатам проверки установлено, что источником сбора персональных данных в ИСПДн Оператора является Интернет-сайт «https://zaknpki.rostelecom.ru/». В ходе внеплановой выездной проверки Управлением был проведен осмотр ИСПДн Оператора с целью подтверждения соответствия персональных данных, содержащихся в скомпрометированной базе данных, и ИСПДн Оператора. По результатам сопоставления информации, размещенной в сети Интернет по адресу: https://t.me/c/1720638765/4719 и осмотра ИСПДн Оператора были выявлены субъекты, сведения о которых размещены в сети Интернет по адресу: https://t.me/c/1720638765/4719, совпадающие с данными, содержащимися в ИСПДн «1С-Битрикс: Управления сайтом». В результате проведения проверки Управлением установлено, что правовые основания предоставления доступа к ИСПДн Оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных пользователей Оператора путем их размещения на сайте в сети Интернет по адресу: https://t.me/c/1720638765/4719, отсутствуют, Обществом допущено нарушение требований части 1 статьи 6, статьи 7 Закона о персональных данных, в части предоставления неправомерного доступа к ИСПДн Оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных пользователей порталов Оператора путем их размещения на сайте в сети Интернет по адресу https://t.me/c/1720638765/4719. Управлением в отношении Общества составлен протокол от 14.08.2025 № АП-78/12/831 об административном правонарушении, предусмотренном частью 1 статьи 13.11 КоАП РФ. На основании части 3 статьи 23.1 КоАП РФ протокол и иные материалы проверки направлены Управлением в арбитражный суд для решения вопроса о привлечении Общества к административной ответственности. Положениями части 1 статьи 13.11 КоАП РФ (в редакции, действовавшей до 30.05.2025) предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния. Федеральным законом от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в статью 13.11 КоАП РФ внесены изменения, в части 1 слова «частью 2» заменены словами «частями 1, 11-18», а статья 13.11 КоАП РФ дополнена частями 10-18 об административной ответственности оператора за невыполнения или несвоевременное выполнение обязанностей и его действия, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации. Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами регулируется Законом о персональных данных. Согласно пунктам 1 - 3 статьи 3 Закона о персональных данных персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Согласно пункту 1 части 1 статьи 6 Закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Предоставление персональных данных – это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. В пункте 2 статьи 3 Закона № 152-ФЗ установлено, что оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В силу статьи 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В соответствии со статьей 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В соответствии с частью 1 статьи 9 Закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не Законом. Как следует из материалов дела, письмом от 21.01.2025 № 08-27266 Управление сообщило Обществу об установлении факта публикации (https://t.me/dataleak/3457), компьютерном инциденте, предположительно повлекшем доступ неустановленных лиц к персональным данным, обрабатываемым Обществом. Одновременно, было получено требование о необходимости подтвердить или опровергнуть факт наличия вышеуказанного компьютерного инцидента. Общество направило Управлению уведомления от 22.01.2025 и от 24.01.2025 о факте неправомерной/случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, указав на произошедший в сентябре 2024 года инцидент: внешний несанкционированный доступ с использованием легитимных учетных записей организации ООО «Кьюсофт», обслуживающей интернет порталы. Вместе с тем, Обществом самостоятельно были приняты меры по устранению выявленных угроз, в том числе была осуществлена блокировка подрядной организации ООО «Кьюсофт», произведена ротация учетной информации лиц, имевших доступ к ресурсам заявителя, ужесточена парольная политика, устранены механизмы закрепления злоумышленников. На момент завершения работ по инциденту заявитель не обладал информацией об утечке данных с вышеуказанных ресурсов. Информация об инциденте была своевременно предоставлена в НКЦКИ ФСБ России, проведено расследование, функционирование портала восстановлено. Из чего судом сделан вывод о том, что вменяемое Обществу нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных оператора, содержащей персональные данные лиц, было совершено в сентябре 2024 года. Действие Общества по размещению сведения на интернет-портале, обнаруженные Управлением при проведении мониторинга, не подтверждают административное правонарушение, ответственность за которое установлена частью 1 статьи 13.11 КоАП РФ. Такие действия являются следствием совершенного ранее административного правонарушения, повлекшего за собой использование персональных данных пользователей. Датой начала совершения административного правонарушения по неправомерной передаче (предоставление, распространение, доступ) информации, составляющей персональные данные, следует считать 21.09.2024. Датой окончания совершения – 04.10.2024 (смена паролей для пользователей на всех скомпрометированных хостах). В соответствии с частью 1 статьи 4.5 КоАП РФ постановление по делу об административном правонарушении не может быть вынесено по истечении 60 календарных дней (по делу об административном правонарушении, рассматриваемому судьей, – по истечении 90 календарных дней) со дня совершения административного правонарушения. При длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения (часть 2 статьи 4.5 КоАП РФ). Для статьи 13.11 КоАП РФ установлен специальный срок давности привлечения, составляющий 1 год. На основании пункта 6 части 1 статьи 24.5 КоАП РФ истечение срока давности привлечения к административной ответственности является обстоятельством, исключающим производство по делу об административном правонарушении. Согласно пункту 18 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 27.01.2003 №2 «О некоторых вопросах, связанных с введением в действие Кодекса Российской Федерации об административных правонарушениях» установленные статьей 4.5 КоАП РФ сроки давности привлечения к административной ответственности являются пресекательными и в случае их пропуска суд принимает решение об отказе в привлечении к административной ответственности в соответствии с частью 2 статьи 206 АПК РФ. Поскольку нарушение прекращено Обществом после самостоятельного выявления 04.10.2025, срок давности привлечения Общества к административной ответственности (1 год) на момент рассмотрения дела в суде истек. Согласно правовой позиции, изложенной в пункте 13.1 Постановления Пленума Верховного Суда Российской Федерации от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях», постановлениях Верховного Суда Российской Федерации от 22.09.2015 № 9- АД15-13, от 08.06.2015 № 302-АД14-4203, от 17.03.2016 № 46-АД16-3, по истечении срока давности привлечения к административной ответственности вопрос о виновности лица, в отношении которого производство по делу прекращено, обсуждаться не может Частью 3 статьи 1.7 КоАП РФ установлено, что производство по делу об административном правонарушении осуществляется на основании закона, действующего во время производства по указанному делу. Суд считает, что фактические действия Общества не соответствовали административному правонарушению, описанному в части 1 статьи 13.11 КоАП РФ, а ответственность оператора установлена специальными нормами статьи 13.11 КоАП РФ, введенными в действие с 30.05.2025, то есть позднее действий Общества, квалифицированных Управлением как административное правонарушение. На дату составления протокола об административном правонарушении действия, совершение которых вменялось в вину Обществу, не являлись противоправными и не влекли за собой административную ответственность. Принимая во внимание данные обстоятельства, суд приходит к выводу, что истечение срока привлечения к административной ответственности является обстоятельством, исключающим производство по делу об административном правонарушении. При таких обстоятельствах суд полагает, что оснований для удовлетворения заявления Управления не имеется. Руководствуясь статьями 167-170, 206 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд Отказать Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному Федеральному округу в удовлетворении требования о привлечении публичного акционерного общества «Ростелеком» к административной ответственности, предусмотренной частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях. Решение может быть обжаловано в Тринадцатый арбитражный апелляционный суд в течение десяти дней со дня принятия решения. Судья Золотарева Я.В. Суд:АС Санкт-Петербурга и Ленинградской обл. (подробнее)Истцы:Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу (подробнее)Ответчики:ПАО "РОСТЕЛЕКОМ" (подробнее) |
