Дело № 2-3206/2022

Акты

УИД78RS0011-01-2022-004388-18

Дело № 2-3206/22 28 ноября 2022 года

РЕШЕНИЕ

ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

Куйбышевский районный суд Санкт-Петербурга в составе:

председательствующего судьи Кузовкиной Т.В.

при помощнике судьи Улюковой В.В.

рассмотрев в открытом судебном заседании гражданское дело по иску ФИО2 к ФИО5 о защите прав субъекта персональных данных и взыскании компенсации морального вреда,

УСТАНОВИЛ:

ФИО2 обратился в суд с иском к ФИО6 о защите прав субъекта персональных данных и взыскании компенсации морального вреда в сумме <данные изъяты>., почтовых и судебных расходов, ссылалась на то, что предоставил ответчику свои персональные данные, присоединившись к пользовательскому соглашению сервиса по заказу товаров и доставки ФИО7 ДД.ММ.ГГГГ из статьи интернет-портала <данные изъяты> ему стало известно об утечке информации пользователей ФИО8 выразившейся в размещении в сети «Интернет» его фамилии, имени и отчества, адрес доставки, номер телефона, даты, время, стоимость и ассортимент товаров, о чем было сообщено официально, тем самым ответчик нарушил личные неимущественные права истца, а именно, на неприкосновенность частной, личной и семейной жизни, семейную тайну.

Истец в суд явился, иск поддержал, просил об удовлетворении требований.

Представитель ответчика в судебном заседании иск не признал, просил в требованиях отказать, ссылаясь на недоказанность фактов распространения сведений об истце по вине ответчика. Приобщил к материалам дела письменные возражения (л.д.40-48).

Проверив материалы дела, выслушав объяснения сторон, суд считает иск не подлежащим удовлетворению.

Согласно части 1 статьи 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. В силу части 4 статьи 29 Конституции Российской Федерации каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Статьей 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

В пункте 6 Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определено, что под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Согласно ст. 3 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с пунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт 3 статьи 3).

Согласно пунктам 5 и 6 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, а предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В силу п. 1 ст. 19 названного Федерального закона оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно части 2 статьи 24 указанного Закона моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с данным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации.

В соответствии со ст. 150 Гражданского Кодекса Российской Федерации жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом. Нематериальные блага защищаются в соответствии с настоящим Кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и пределах, в каких использование способов защиты гражданских прав (статья 12) вытекает из существа нарушенного нематериального блага или личного неимущественного права и характера последствий этого нарушения.

На основании ст. 151 Гражданского Кодекса Российской Федерации если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

Следовательно, предметом доказывания в настоящем деле являются факт незаконных действий работников и должностных лиц ответчика, в результате которых истцу причинен моральный вред, а также сам факт причинения истцу морального вреда и наличие причинно-следственной связи между причиненным вредом и действиями (бездействием) ответчика.

В силу статьи 56 Гражданского процессуального кодекса Российской Федерации (далее - ГПК РФ) каждая сторона должна доказать те обстоятельства, на которые она ссылается как на основания своих требований и возражений, если иное не предусмотрено федеральным законом.

Из материалов дела усматривается, что ФИО2 являлся получателем услуг по доставке товаров и продуктов питания, предоставляемых ФИО10 что подтверждается чеками и не оспаривается ответчиком.

ДД.ММ.ГГГГ в информационных ресурсах была размещена информация о выявлении службой безопасности ФИО9 утечки телефонных номеров и сведений о пользователях и их заказах.

По заявлению ФИО11 от ДД.ММ.ГГГГ о совершении преступления, выразившегося в неправомерном умышленном, совершенном в корыстных целях, доступе неустановленных лиц к охраняемой компьютерной информации конфиденциального характера (персональные данные) и последующем распространении этих сведений в сети Интернет, было возбуждено уголовное дело №, в ходе расследования которого ДД.ММ.ГГГГ следователем ГСУ СК РФ было вынесено постановление о признании потерпевшим ФИО12 (л.д.57,61-62). Согласно указанному постановлению, не позднее ДД.ММ.ГГГГ неустановленные лица, действуя группой лиц по предварительному сговору, используя технические устройства и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершили DDos-атаки на сервис ФИО13. Осуществив неправомерный доступ к охраняемой компьютерной информации, указанные неустановленные лица распространили в информационно-телекоммуникационной сети Интернет на странице, расположенной по веб-адресу: <данные изъяты> незаконно полученные сведения о частной жизни пользователей сервиса ФИО14

Истец при проверке сведений, имеющихся о нем в сети Интернет, обнаружил, что на сайте <данные изъяты> размещена информация о его фамилии, имени, отчестве, номере телефона, адресах, времени, датах доставки, цене и ассортименте товаров (л.д.15). На основании решения <данные изъяты> от ДД.ММ.ГГГГ в соответствии со ст.15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» доступ к указанному сайту был ограничен, что подтверждается сведениями с официального сайта:<данные изъяты> и не оспаривается сторонами.

В ходе рассмотрения дела истцом не представлены доказательства, что ответчиком раскрыты третьим лицам либо распространены персональные данные истца, информационное сообщение о произошедшей утечке данных клиентов ФИО15 без указания конкретных лиц, а также само по себе появление в информационных ресурсах сведений об истце, как о пользователе услуг сервиса ФИО16, не свидетельствуют о том, что ответчиком совершены незаконные действия, направленные на нарушение прав истца. Скриншот страницы сайта <данные изъяты>, который истец приобщил к материалам дела в подтверждение распространения ответчиком сведений о персональных данных истца, не содержит информации, позволяющей отнести данный Интернет-ресурс к ведению ответчика, а также, что источником информации, размещенной на данном сайте, являлось именно ФИО17

К тому же, данное доказательство противоречит принципу допустимости, поскольку получено в ДД.ММ.ГГГГ г. после блокировки данного сайта в установленном законом порядке и без участия нотариуса.

В силу правил статьи 60 ГПК РФ обстоятельства, на которые сторона истца ссылается как на основания своих требований, должны быть подтверждены определенными средствами доказывания.

Одним из оптимальных способов обеспечения доказательств является заверение Интернет-страниц у нотариуса. Нотариус после сверки адреса страницы и реквизитов текста или объекта, составляет протокол нотариального действия - обеспечения письменного доказательства путем доступа к Интернет-странице и последующего ее осмотра в порядке, установленном п. 18 ст. 35 и ст. ст. 102 и 103 Основ законодательства о нотариате. В протоколе описывается не только сама Интернет-страница, но и порядок доступа к ней, а также все действия, которые производились для получения интересующей информации.

Таким образом, суд считает, что истец не подтвердил с помощью доказательств распространение его персональных данных в виду виновных действий (бездействия) ответчика.

Со своей стороны ответчик представил в материалы дела письменные доказательства, указывающие на то, что ответчиком, как оператором и обладателем информации о персональных данных пользователей, в целях защиты этой информации предприняты конкретные меры в порядке, соответствующем действующему законодательству, в связи с чем, отсутствуют основания для вывода о совершении ответчиком неправомерных действий (бездействия) и установления вины ответчика в произошедшем.

Суд принимает во внимание, что по факту совершения неустановленными лицами преступных действий, следствием которых явился неправомерный доступ к базам данных клиентов, ФИО18 признано потерпевшим, что, в отсутствие каких-либо сведений о неосторожности самого потерпевшего, указывает на недоказанность факта распространения ответчиком ограниченной к доступу информации, либо на не соблюдение ответчиком соответствующих регламентов безопасности.

Во исполнение ст.19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в части определения угроз безопасности данных при их обработке в информационных системах персональных данных, ФИО19 внедрены модели (матрицы) угроз безопасности – Реестр рисков, с последним действующим обновлением ДД.ММ.ГГГГ, а также Регламент управления уязвимости сервиса ФИО20 с последним действующим обновлением ДД.ММ.ГГГГ (л.д. 58, 71-72).

В порядке применения организационных технических мер по обеспечению безопасности персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных ФИО21 утверждена и обновляется Политика информационной безопасности сервиса ФИО22 в ДД.ММ.ГГГГ ответчиком получен сертификат соответствия требованиям международного стандарта безопасности PCI DSS (л.д.65-66).

Также во исполнение требований законодательства ответчиком внедрены: Регламент управления изменениями в сервисе ФИО23 (набор практик, направленных на повышение безопасности разрабатываемых систем), предусматривающий внутренний аудит всех новых продуктов со стороны службы информационной безопасности, Регламент управления информационными рисками в сервисе, утвержденный в ДД.ММ.ГГГГ. (л.д. 54-55, 73-82)

Также, в ДД.ММ.ГГГГ г. утверждены План реагирования на инциденты и Регламент управления инцидентами информационной безопасности сервиса ФИО24, внедрена модель нарушителя сервисов <данные изъяты> (л.д. 51-52, 69-70). Утвержден в введен в действие Регламент повышения осведомленности работников сервиса ФИО25 в области информационной безопасности, на основе которого реализуются программы регулярного обучения основам информационной безопасности для всех сотрудников, имеющих доступ к персональным данным, а также осуществляется контроль за соблюдением требований информационной безопасности (л.д.53).

В ДД.ММ.ГГГГ. утверждена ответчиком и внедрена Политика использования приватных данных пользователей, предусматривающая учет всех действий, совершаемых с персональными данными пользователей и строгое ограничение доступа к ним (л.д.63-64).

Доказательств, свидетельствующих о том, что принятые ответчиком меры безопасности не соответствуют законодательству, противоречат техническим правилам и не обеспечиваются (не поддерживаются) техническими ресурсами, недостаточны и не эффективны, в материалы дела не представлено.

Оценивая вышеизложенное, суд считает, что ответчиком с помощью необходимых и достаточных доказательств подтверждено отсутствие вины в распространении персональных данных истца.

Поскольку ст.24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и корреспондирующая ей норма ст.151 ГК РФ в качестве основания для возложения гражданской правовой ответственности предусматривают виновное поведение нарушителя, находящееся в причинной связи с наступившими неблагоприятными последствиями, суд считает требования иска о компенсации морального вреда не подлежат удовлетворению, поскольку в ходе рассмотрения дела обстоятельства, обусловливающие применение данного вида ответственности, не нашли подтверждения.

Руководствуясь ст.ст.194-199 ГПК РФ, суд

РЕШИЛ:

ФИО2 в удовлетворении иска к ФИО26 о защите прав субъекта персональных данных и взыскании компенсации морального вреда – отказать.

Решение может быть обжаловано в Санкт-Петербургский городской суд в течение одного месяца с момента принятия решения в окончательном виде путем подачи апелляционной жалобы через Куйбышевский районный суд Санкт-Петербурга.

Судья –

УИД78RS0011-01-2022-004388-18

Дело № 2-3206/22 28 ноября 2022 года

РЕШЕНИЕ

ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

Куйбышевский районный суд Санкт-Петербурга в составе:

председательствующего судьи Кузовкиной Т.В.

при помощнике судьи Улюковой В.В.

рассмотрев в открытом судебном заседании гражданское дело по иску ФИО2 к ФИО5 о защите прав субъекта персональных данных и взыскании компенсации морального вреда,

УСТАНОВИЛ:

ФИО2 обратился в суд с иском к ФИО6 о защите прав субъекта персональных данных и взыскании компенсации морального вреда в сумме <данные изъяты>., почтовых и судебных расходов, ссылалась на то, что предоставил ответчику свои персональные данные, присоединившись к пользовательскому соглашению сервиса по заказу товаров и доставки ФИО7 ДД.ММ.ГГГГ из статьи интернет-портала <данные изъяты> ему стало известно об утечке информации пользователей ФИО8 выразившейся в размещении в сети «Интернет» его фамилии, имени и отчества, адрес доставки, номер телефона, даты, время, стоимость и ассортимент товаров, о чем было сообщено официально, тем самым ответчик нарушил личные неимущественные права истца, а именно, на неприкосновенность частной, личной и семейной жизни, семейную тайну.

Истец в суд явился, иск поддержал, просил об удовлетворении требований.

Представитель ответчика в судебном заседании иск не признал, просил в требованиях отказать, ссылаясь на недоказанность фактов распространения сведений об истце по вине ответчика. Приобщил к материалам дела письменные возражения (л.д.40-48).

Проверив материалы дела, выслушав объяснения сторон, суд считает иск не подлежащим удовлетворению.

Согласно части 1 статьи 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. В силу части 4 статьи 29 Конституции Российской Федерации каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Статьей 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

В пункте 6 Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определено, что под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Согласно ст. 3 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с пунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт 3 статьи 3).

Согласно пунктам 5 и 6 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, а предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В силу п. 1 ст. 19 названного Федерального закона оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Согласно части 2 статьи 24 указанного Закона моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с данным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации.

В соответствии со ст. 150 Гражданского Кодекса Российской Федерации жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом. Нематериальные блага защищаются в соответствии с настоящим Кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и пределах, в каких использование способов защиты гражданских прав (статья 12) вытекает из существа нарушенного нематериального блага или личного неимущественного права и характера последствий этого нарушения.

На основании ст. 151 Гражданского Кодекса Российской Федерации если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

Следовательно, предметом доказывания в настоящем деле являются факт незаконных действий работников и должностных лиц ответчика, в результате которых истцу причинен моральный вред, а также сам факт причинения истцу морального вреда и наличие причинно-следственной связи между причиненным вредом и действиями (бездействием) ответчика.

В силу статьи 56 Гражданского процессуального кодекса Российской Федерации (далее - ГПК РФ) каждая сторона должна доказать те обстоятельства, на которые она ссылается как на основания своих требований и возражений, если иное не предусмотрено федеральным законом.

Из материалов дела усматривается, что ФИО2 являлся получателем услуг по доставке товаров и продуктов питания, предоставляемых ФИО10 что подтверждается чеками и не оспаривается ответчиком.

ДД.ММ.ГГГГ в информационных ресурсах была размещена информация о выявлении службой безопасности ФИО9 утечки телефонных номеров и сведений о пользователях и их заказах.

По заявлению ФИО11 от ДД.ММ.ГГГГ о совершении преступления, выразившегося в неправомерном умышленном, совершенном в корыстных целях, доступе неустановленных лиц к охраняемой компьютерной информации конфиденциального характера (персональные данные) и последующем распространении этих сведений в сети Интернет, было возбуждено уголовное дело №, в ходе расследования которого ДД.ММ.ГГГГ следователем ГСУ СК РФ было вынесено постановление о признании потерпевшим ФИО12 (л.д.57,61-62). Согласно указанному постановлению, не позднее ДД.ММ.ГГГГ неустановленные лица, действуя группой лиц по предварительному сговору, используя технические устройства и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершили DDos-атаки на сервис ФИО13. Осуществив неправомерный доступ к охраняемой компьютерной информации, указанные неустановленные лица распространили в информационно-телекоммуникационной сети Интернет на странице, расположенной по веб-адресу: <данные изъяты> незаконно полученные сведения о частной жизни пользователей сервиса ФИО14

Истец при проверке сведений, имеющихся о нем в сети Интернет, обнаружил, что на сайте <данные изъяты> размещена информация о его фамилии, имени, отчестве, номере телефона, адресах, времени, датах доставки, цене и ассортименте товаров (л.д.15). На основании решения <данные изъяты> от ДД.ММ.ГГГГ в соответствии со ст.15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» доступ к указанному сайту был ограничен, что подтверждается сведениями с официального сайта:<данные изъяты> и не оспаривается сторонами.

В ходе рассмотрения дела истцом не представлены доказательства, что ответчиком раскрыты третьим лицам либо распространены персональные данные истца, информационное сообщение о произошедшей утечке данных клиентов ФИО15 без указания конкретных лиц, а также само по себе появление в информационных ресурсах сведений об истце, как о пользователе услуг сервиса ФИО16, не свидетельствуют о том, что ответчиком совершены незаконные действия, направленные на нарушение прав истца. Скриншот страницы сайта <данные изъяты>, который истец приобщил к материалам дела в подтверждение распространения ответчиком сведений о персональных данных истца, не содержит информации, позволяющей отнести данный Интернет-ресурс к ведению ответчика, а также, что источником информации, размещенной на данном сайте, являлось именно ФИО17

К тому же, данное доказательство противоречит принципу допустимости, поскольку получено в ДД.ММ.ГГГГ г. после блокировки данного сайта в установленном законом порядке и без участия нотариуса.

В силу правил статьи 60 ГПК РФ обстоятельства, на которые сторона истца ссылается как на основания своих требований, должны быть подтверждены определенными средствами доказывания.

Одним из оптимальных способов обеспечения доказательств является заверение Интернет-страниц у нотариуса. Нотариус после сверки адреса страницы и реквизитов текста или объекта, составляет протокол нотариального действия - обеспечения письменного доказательства путем доступа к Интернет-странице и последующего ее осмотра в порядке, установленном п. 18 ст. 35 и ст. ст. 102 и 103 Основ законодательства о нотариате. В протоколе описывается не только сама Интернет-страница, но и порядок доступа к ней, а также все действия, которые производились для получения интересующей информации.

Таким образом, суд считает, что истец не подтвердил с помощью доказательств распространение его персональных данных в виду виновных действий (бездействия) ответчика.

Со своей стороны ответчик представил в материалы дела письменные доказательства, указывающие на то, что ответчиком, как оператором и обладателем информации о персональных данных пользователей, в целях защиты этой информации предприняты конкретные меры в порядке, соответствующем действующему законодательству, в связи с чем, отсутствуют основания для вывода о совершении ответчиком неправомерных действий (бездействия) и установления вины ответчика в произошедшем.

Суд принимает во внимание, что по факту совершения неустановленными лицами преступных действий, следствием которых явился неправомерный доступ к базам данных клиентов, ФИО18 признано потерпевшим, что, в отсутствие каких-либо сведений о неосторожности самого потерпевшего, указывает на недоказанность факта распространения ответчиком ограниченной к доступу информации, либо на не соблюдение ответчиком соответствующих регламентов безопасности.

Во исполнение ст.19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в части определения угроз безопасности данных при их обработке в информационных системах персональных данных, ФИО19 внедрены модели (матрицы) угроз безопасности – Реестр рисков, с последним действующим обновлением ДД.ММ.ГГГГ, а также Регламент управления уязвимости сервиса ФИО20 с последним действующим обновлением ДД.ММ.ГГГГ (л.д. 58, 71-72).

В порядке применения организационных технических мер по обеспечению безопасности персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных ФИО21 утверждена и обновляется Политика информационной безопасности сервиса ФИО22 в ДД.ММ.ГГГГ ответчиком получен сертификат соответствия требованиям международного стандарта безопасности PCI DSS (л.д.65-66).

Также во исполнение требований законодательства ответчиком внедрены: Регламент управления изменениями в сервисе ФИО23 (набор практик, направленных на повышение безопасности разрабатываемых систем), предусматривающий внутренний аудит всех новых продуктов со стороны службы информационной безопасности, Регламент управления информационными рисками в сервисе, утвержденный в ДД.ММ.ГГГГ. (л.д. 54-55, 73-82)

Также, в ДД.ММ.ГГГГ г. утверждены План реагирования на инциденты и Регламент управления инцидентами информационной безопасности сервиса ФИО24, внедрена модель нарушителя сервисов <данные изъяты> (л.д. 51-52, 69-70). Утвержден в введен в действие Регламент повышения осведомленности работников сервиса ФИО25 в области информационной безопасности, на основе которого реализуются программы регулярного обучения основам информационной безопасности для всех сотрудников, имеющих доступ к персональным данным, а также осуществляется контроль за соблюдением требований информационной безопасности (л.д.53).

В ДД.ММ.ГГГГ. утверждена ответчиком и внедрена Политика использования приватных данных пользователей, предусматривающая учет всех действий, совершаемых с персональными данными пользователей и строгое ограничение доступа к ним (л.д.63-64).

Доказательств, свидетельствующих о том, что принятые ответчиком меры безопасности не соответствуют законодательству, противоречат техническим правилам и не обеспечиваются (не поддерживаются) техническими ресурсами, недостаточны и не эффективны, в материалы дела не представлено.

Оценивая вышеизложенное, суд считает, что ответчиком с помощью необходимых и достаточных доказательств подтверждено отсутствие вины в распространении персональных данных истца.

Поскольку ст.24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и корреспондирующая ей норма ст.151 ГК РФ в качестве основания для возложения гражданской правовой ответственности предусматривают виновное поведение нарушителя, находящееся в причинной связи с наступившими неблагоприятными последствиями, суд считает требования иска о компенсации морального вреда не подлежат удовлетворению, поскольку в ходе рассмотрения дела обстоятельства, обусловливающие применение данного вида ответственности, не нашли подтверждения.

Руководствуясь ст.ст.194-199 ГПК РФ, суд

РЕШИЛ:

ФИО2 в удовлетворении иска к ФИО26 о защите прав субъекта персональных данных и взыскании компенсации морального вреда – отказать.

Решение может быть обжаловано в Санкт-Петербургский городской суд в течение одного месяца с момента принятия решения в окончательном виде путем подачи апелляционной жалобы через Куйбышевский районный суд Санкт-Петербурга.

Судья –