Суть спора
24.06.2025 Общество уведомило Роскомнадзор о несанкционированном доступе неустановленных лиц к ИСПДн (Битрикс 24).
В Telegram были размещены около 500 000 строк (фамилия, имя, номер телефона, адрес электронный почты, а также соответствующие комментарии (например, «бесплатный курс», «завершен», «Выполнено» и иные обозначения статусов взаимодействия с клиентами), а также корпоративные адреса электронных почт Общества, подпадающие под данные сотрудников).
Согласно представленной Обществом информации в ИСПДн «Битрикс 24» обрабатываются от 300 000 до 500 000 записей клиентов и более 900 записей исполнителей Общества (назначение продажи, лиды, бизнес-процессы).
Управление Роскомнадзора по ЦФО провело административное расследование.
06.11.2025 должностным лицом Роскомнадзора проведен осмотр ИСПДн «Битрикс 24», осуществлен выборочный поиск ПДн, содержащихся в скомпрометированной базе данных. Установлено совпадение данных 31 субъекта, как следствие, принадлежность оператору скомпрометированной базы данных подтверждена.
«Ввиду наличия в скомпрометированной базе данных более ста тысяч субъектов ПДн и (или) более одного миллиона идентификаторов, указанные действия образуют состав административного правонарушения по ч. 14 ст. 13.11 КоАП РФ».
Представитель Общества возражал против привлечения к административной ответственности, представил отзыв, в котором просил применить положения ч.2 ст. 3.4 КоАП РФ и назначить наказание в виде предупреждения.
Позиция суда
Решение Арбитражного суда г. Москвы по делу № А40-351064/25-145-2742
Доказательств того, что Обществом были приняты все зависящие от него меры по соблюдению правил и норм, за нарушение которых КоАП РФ предусмотрена административная ответственность, не представлено.
Срок, предусмотренный ч.1 ст.4.5 КоАП РФ для привлечения к административной ответственности на дату принятия решения не истек.
Доводы Общества о наличии оснований для изменения наказания в виде административного штрафа на предупреждение отклонены.
Вместе с тем, при определении размера наказания суд принял во внимание статус Общества. Поскольку, согласно сведениям из Единого реестра субъектов малого и среднего предпринимательства, Общество внесено в соответствующий реестр 10.08.2021 и отнесено к категории микропредприятие, Суд счел возможным применить специальные правила назначения наказания, установленные ч.2 ст. 4.1.2 КоАП РФ.
Общество было привлечено к административной ответственности по ч.14 ст.13.11 КоАП РФ, назначено наказание в виде административного штрафа в размере 400 000 рублей (прим. - штраф для ЮЛ по ч. 14 ст. 13.11 КоАП РФ – от 10 млн. до 15 млн.).
На решение подана апелляционная жалоба в Девятый Арбитражный апелляционный суд.
Обратим внимание на интересную последовательность в решении Суда: в Telegram выявлено распространение около 500 тыс. строк. На основании выборочной проверки и выявления совпадений по 31 субъекту, подтверждена принадлежность скомпрометированной базы данных оператору. С учетом вышеизложенного, установлен факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение ПДн более 300 тыс. субъектов (клиентов и исполнителей оператора). Ввиду наличия в скомпрометированной базе данных более 100 тыс. субъектов и (или) более одного миллиона идентификаторов Суд приходит к выводу о наличии состава административного правонарушения по ч. 14 ст. 13.11 КоАП РФ.
