Задолженности 
Нахождение в розыске 
Уголовные и гражданские дела 
Арбитражи 
'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='0'%20stop-color='%23e65b29'/%3e%3cstop%20offset='1'%20stop-color='%23d8174e'/%3e%3c/linearGradient%3e%3c/defs%3e%3cg%20data-name='Слой%202'%3e%3cg%20data-name='Слой%201'%3e%3cpath%20d='M28.35%2020.83l2.27.28a5.54%205.54%200%200%201-2%203.09%206%206%200%200%201-3.71%201.1%205.93%205.93%200%200%201-4.51-1.75%206.84%206.84%200%200%201-1.67-4.91%207.16%207.16%200%200%201%201.68-5.08%205.7%205.7%200%200%201%204.37-1.81A5.54%205.54%200%200%201%2029%2013.51a7%207%200%200%201%201.65%205v.59H21a5%205%200%200%200%201.21%203.27%203.59%203.59%200%200%200%202.71%201.14%203.36%203.36%200%200%200%202.08-.66%204.22%204.22%200%200%200%201.35-2.02zm-7.21-3.55h7.24a4.4%204.4%200%200%200-.83-2.45%203.37%203.37%200%200%200-2.72-1.27%203.49%203.49%200%200%200-2.55%201%204%204%200%200%200-1.14%202.71zM33.39%2012h10.23v13h-2.2V13.86h-5.83V25H33.4zm13.43%2018l-.24-2.06a4.9%204.9%200%200%200%201.26.19%202.41%202.41%200%200%200%201.16-.25%202%202%200%200%200%20.72-.68%2010.83%2010.83%200%200%200%20.67-1.64q.06-.18.2-.54L45.68%2012H48l2.7%207.51q.52%201.43.94%203a29.54%2029.54%200%200%201%20.9-3L55.36%2012h2.2l-4.94%2013.22a25.88%2025.88%200%200%201-1.23%202.94%204.33%204.33%200%200%201-1.39%201.6%203.17%203.17%200%200%201-1.81.51%204.43%204.43%200%200%201-1.37-.27zm11.42-18h10.53v1.82H64.6V25h-2.19V13.86h-4.17zM79%2023.4a8.18%208.18%200%200%201-2.35%201.47%206.79%206.79%200%200%201-2.42.43%204.71%204.71%200%200%201-3.28-1%203.45%203.45%200%200%201-1.15-2.67%203.55%203.55%200%200%201%20.43-1.74%203.59%203.59%200%200%201%201.14-1.26%205.34%205.34%200%200%201%201.63-.77%2015.75%2015.75%200%200%201%202-.33%2020%2020%200%200%200%203.92-.76v-.57a2.43%202.43%200%200%200-.62-1.89%203.68%203.68%200%200%200-2.5-.74%203.88%203.88%200%200%200-2.29.54A3.32%203.32%200%200%200%2072.37%2016l-2.15-.29a5.32%205.32%200%200%201%201-2.23%204.23%204.23%200%200%201%201.94-1.31%208.67%208.67%200%200%201%202.94-.46%207.8%207.8%200%200%201%202.7.39%203.56%203.56%200%200%201%201.53%201%203.45%203.45%200%200%201%20.68%201.5%2012.39%2012.39%200%200%201%20.11%202v2.93a31.26%2031.26%200%200%200%20.14%203.88%204.89%204.89%200%200%200%20.52%201.59h-2.29a4.66%204.66%200%200%201-.49-1.6zm-.18-4.91a16.15%2016.15%200%200%201-3.59.83%208.21%208.21%200%200%200-1.92.44%201.92%201.92%200%200%200-.46%203.24%202.87%202.87%200%200%200%201.95.59%204.52%204.52%200%200%200%202.26-.59%203.42%203.42%200%200%200%201.45-1.52%205.3%205.3%200%200%200%20.35-2.2zM84.53%2012h2.2v11.19h6.08V12H95v11.19h1.42v5.48h-1.81V25H84.53V12zm14.28%200H101v9.89l6.1-9.89h2.37v13h-2.2v-9.83L101.18%2025h-2.37V12zM123%2012v13h-2.2v-5.05h-1.27a3.84%203.84%200%200%200-1.73.3%206.42%206.42%200%200%200-1.65%201.92L114.23%2025h-2.72l2.37-3.49A3.78%203.78%200%200%201%20116%2019.7a4.19%204.19%200%200%201-2.79-1.35%203.85%203.85%200%200%201-.91-2.53%203.48%203.48%200%200%201%201.19-2.73A5.06%205.06%200%200%201%20117%2012h6zm-2.18%201.82h-3.12a3.61%203.61%200%200%200-2.53.61%202%202%200%200%200-.57%201.43%201.88%201.88%200%200%200%20.84%201.7%205.77%205.77%200%200%200%203%20.54h2.43v-4.24z'/%3e%3cpath%20d='M0%2012.66h3.85v12.11H0z'%20fill='%23c91d44'/%3e%3cpath%20d='M7.43%200H0v3.85h7.43a4.4%204.4%200%201%201%200%208.81H0l3.85%203.85h3.58A8.26%208.26%200%200%200%207.61%200z'%20fill='url(%23a)'/%3e%3cpath%20d='M12.39%2016.51a9.57%209.57%200%200%201-4.26%201.35l3.21%206.91h5l-3.84-8.26z'%20style='isolation:isolate'%20fill='%23423e3e'%20opacity='.2'/%3e%3c/g%3e%3c/g%3e%3c/svg%3e){kind=small}
УИД: 78RS0015-01-2022-006276-59
Дело № 2-667/2023 (2-7395/2022;)
РЕШЕНИЕ
ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ
Санкт-Петербург 16 марта 2023 г.
Невский районный суд Санкт-Петербурга
в составе председательствующего судьи: Поповой Н.В.
при секретаре: Радостевой Д.А.
рассмотрев в открытом судебном заседании гражданское дело по исковому заявлению Кулакова А. А.овича, Шпыновой М. И. к ООО "Яндекс. Еда" о взыскании компенсации морального вреда и штрафа,
УСТАНОВИЛ:
Кулаков А.А. и Шпынова М.И. обратились в Невский районный суд Санкт-Петербурга с иском к ООО "Яндекс. Еда" о защите прав субъекта персональных данных и взыскании компенсации морального вреда в сумме 30 000 рублей, в пользу каждого из истцов, штрафа, ссылалась на то, что предоставили ответчику свои персональные данные, присоединившись к пользовательскому соглашению сервиса по заказу товаров и доставки. 01.03.2022 из письма ООО «Яндекс.Еда» истцам стало известно об утечке информации пользователей выразившейся в размещении в сети «Интернет» их фамилии, имени и отчества, адрес доставки, номера телефонов, тем самым ответчик нарушил личные неимущественные права истца, а именно, на неприкосновенность частной, личной и семейной жизни, семейную №.
Шпынова М.И., действующая также как представитель истца Кулакова А.А. в суд явилась, исковые требования поддержала в полном объеме, просила об удовлетворении требований.
Представитель ответчика в судебном заседании иск не признал, просил в требованиях отказать, ссылаясь на недоказанность фактов распространения сведений об истце по вине ответчика. Приобщил к материалам дела письменные возражения.
Проверив материалы дела, выслушав объяснения сторон, суд приходит к следующему.
Согласно части 1 статьи 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную №, защиту своей чести и доброго имени. В силу части 4 статьи 29 Конституции Российской Федерации каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
Статьей 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
В пункте 6 Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определено, что под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Согласно ст. 3 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с пунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт 3 статьи 3).
Согласно пунктам 5 и 6 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, а предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В силу п. 1 ст. 19 названного Федерального закона оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Согласно части 2 статьи 24 указанного Закона моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с данным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации.
В соответствии со ст. 150 Гражданского Кодекса Российской Федерации жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная №, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом. Нематериальные блага защищаются в соответствии с настоящим Кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и пределах, в каких использование способов защиты гражданских прав (статья 12) вытекает из существа нарушенного нематериального блага или личного неимущественного права и характера последствий этого нарушения.
На основании ст. 151 Гражданского Кодекса Российской Федерации если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Следовательно, предметом доказывания в настоящем деле являются факт незаконных действий работников и должностных лиц ответчика, в результате которых истцу причинен моральный вред, а также сам факт причинения истцу морального вреда и наличие причинно-следственной связи между причиненным вредом и действиями (бездействием) ответчика.
В силу статьи 56 Гражданского процессуального кодекса Российской Федерации (далее - ГПК РФ) каждая сторона должна доказать те обстоятельства, на которые она ссылается как на основания своих требований и возражений, если иное не предусмотрено федеральным законом.
Из материалов дела усматривается, что истцы являлись получателем услуг по доставке товаров и продуктов питания, предоставляемых ООО «Яндекс.Еда», что подтверждается материалами дела и стороной ответчика в процессе рассмотрения спора не отрицалось.
02 марта 2022 года истцам от ответчика поступило электронное письмо, из текста которого следует, что служба информационной безопасности Яндекс Еды выявила внутреннюю утечку данных о заказах в сервисе. В интернет попали номера телефонов клиентов и техническая информация о заказах: дата создания, состав и другие подробности. Утечка не коснулась банковских и платежных данных, логинов и паролей – они в безопасности.
Из представленных ответчиком в материалы дела документов усматривается, что 23 марта 2022 года возбуждено уголовное дело №12202007703000203, в ходе расследования которого 12 августа 2022 следователем ГСУ СК РФ было вынесено постановление о признании потерпевшим ООО «Яндекс.Еда» (л.д.129). Согласно указанному постановлению, не позднее 23.03.2022 неустановленные лица, находясь в неустановленном месте, действуя группой лиц по предварительному сговору, используя технические устройства с доступом в информационно-телекомуникационную сеть Интернет и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершили DDos – атаки на сервис «Яндекс.Еда». Осуществив неправомерный доступ к охраняемой законом компьютерной информации, с целью незаконного собирания и последующего распространения сведений о частной жизни лиц – Граждан Российской Федерации, составляющих их личную и семейную № (фамилии и имени, номере телефона, адресе проживания, электронном почтовом ящике), без их согласия неустановленные лица произвели копирование указанных сведений. После чего, в этот же день, неустановленные лица распространили в информационно-телекомуникационной сети Интрнет на странице, расположенной по веб-адресу: https://saverudata.org/map/, незаконно полученные в результате DDos – атак сведения о частной жизни пользователей сервиса «Яндекс.Еда», доступные неопределенному кругу лиц.
Истцы при проверке сведений, имеющихся о них в сети Интернет, обнаружил, что на сайте https://saverudata.org/map/ размещена информация о их фамилии, имени, номере телефона, адресах, адресах электронной почты, цене приобретенного товара (л.д.45-46).
На основании решения Таганского районного суда г. Москвы от 10 марта 2022 года в соответствии со ст.15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» доступ к указанному сайту был ограничен, что подтверждается сведениями с официального сайта Роскомнадзора и не оспаривается сторонами.
В ходе рассмотрения дела истцами не представлены доказательства, что ответчиком раскрыты третьим лицам либо распространены персональные данные истцов, информационное сообщение о произошедшей утечке данных клиентов ООО «Яндекс.Еда» без указания конкретных лиц, а также само по себе появление в информационных ресурсах сведений об истцах, как о пользователях услуг сервиса ООО «Яндекс.Еда», не свидетельствуют о том, что ответчиком совершены незаконные действия, направленные на нарушение прав истцов.
Скриншоты страниц сайта, которые истцы приобщили к материалам дела в подтверждение распространения ответчиком сведений о персональных данных истцов, не содержит информации, позволяющей отнести данный Интернет-ресурс к ведению ответчика, а также, что источником информации, размещенной на данном сайте, являлось именно ООО «Яндекс.Еда».
К тому же, данное доказательство противоречит принципу допустимости, поскольку получено без участия нотариуса.
В силу правил статьи 60 Гражданского процессуального кодекса Российской Федерации обстоятельства, на которые сторона истца ссылается как на основания своих требований, должны быть подтверждены определенными средствами доказывания.
Одним из оптимальных способов обеспечения доказательств является заверение Интернет-страниц у нотариуса. Нотариус после сверки адреса страницы и реквизитов текста или объекта, составляет протокол нотариального действия - обеспечения письменного доказательства путем доступа к Интернет-странице и последующего ее осмотра в порядке, установленном п. 18 ст. 35 и ст. ст. 102 и 103 Основ законодательства о нотариате. В протоколе описывается не только сама Интернет-страница, но и порядок доступа к ней, а также все действия, которые производились для получения интересующей информации.
Таким образом, суд считает, что истцы не подтвердили с помощью доказательств распространение их персональных данных в виду виновных действий (бездействия) ответчика.
Со своей стороны ответчик представил в материалы дела письменные доказательства, указывающие на то, что ответчиком, как оператором и обладателем информации о персональных данных пользователей, в целях защиты этой информации предприняты конкретные меры в порядке, соответствующем действующему законодательству, в связи с чем, отсутствуют основания для вывода о совершении ответчиком неправомерных действий (бездействия) и установления вины ответчика в произошедшем.
Суд принимает во внимание, что по факту совершения неустановленными лицами преступных действий, следствием которых явился неправомерный доступ к базам данных клиентов, ООО «Яндекс.Еда» признано потерпевшим, что, в отсутствие каких-либо сведений о неосторожности самого потерпевшего, указывает на недоказанность факта распространения ответчиком ограниченной к доступу информации, либо на не соблюдение ответчиком соответствующих регламентов безопасности.
Во исполнение ст.19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в части определения угроз безопасности данных при их обработке в информационных системах персональных данных, ООО «Яндекс.Еда» внедрены модели (матрицы) угроз безопасности – Реестр рисков (л.д.119), а также Регламент управления уязвимости сервиса (л.д. 117-118).
В порядке применения организационных технических мер по обеспечению безопасности персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных ООО «Яндекс.Еда) утверждена и обновляется Политика информационной безопасности сервиса (л.д.114-116) в 2018 году ответчиком получен сертификат соответствия требованиям международного стандарта безопасности PCI DSS (л.д.101-113).
Также во исполнение требований законодательства ответчиком внедрены: Регламент управления изменениями в сервисе Яндекс.Еда (набор практик, направленных на повышение безопасности разрабатываемых систем), предусматривающий внутренний аудит всех новых продуктов со стороны службы информационной безопасности, Регламент управления информационными рисками в сервисе, утвержденный в ноябре 2021 года (л.д. 96-100)
Также, в ноябре 2021 года утверждены План реагирования на инциденты и Регламент управления инцидентами информационной безопасности сервиса Яндекс.Еда, внедрена модель нарушителя сервисов Яндекса (л.д. 92-95). Утвержден в введен в действие Регламент повышения осведомленности работников сервиса Яндекс.Еда в области информационной безопасности, на основе которого реализуются программы регулярного обучения основам информационной безопасности для всех сотрудников, имеющих доступ к персональным данным, а также осуществляется контроль за соблюдением требований информационной безопасности (л.д.88).
В ноябре 2021 года утверждена ответчиком и внедрена Политика использования приватных данных пользователей, предусматривающая учет всех действий, совершаемых с персональными данными пользователей и строгое ограничение доступа к ним (л.д.90-91).
Доказательств, свидетельствующих о том, что принятые ответчиком меры безопасности не соответствуют законодательству, противоречат техническим правилам и не обеспечиваются (не поддерживаются) техническими ресурсами, недостаточны и не эффективны, в материалы дела не представлено.
Оценивая вышеизложенное, суд считает, что ответчиком с помощью необходимых и достаточных доказательств подтверждено отсутствие вины в распространении персональных данных истцов.
Поскольку ст.24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и корреспондирующая ей норма ст.151 ГК РФ в качестве основания для возложения гражданской правовой ответственности предусматривают виновное поведение нарушителя, находящееся в причинной связи с наступившими неблагоприятными последствиями, суд считает требования иска о компенсации морального вреда не подлежат удовлетворению, поскольку в ходе рассмотрения дела обстоятельства, обусловливающие применение данного вида ответственности, не нашли подтверждения.
Поскольку требования о взыскании с ответчика штрафа являются производными от основного требования, в удовлетворении которого судом отказано, основания для взыскания штрафа у суда отсутствуют.
На основании изложенного, руководствуясь ст. ст. 194-199 Гражданского процессуального кодекса Российской Федерации, суд
Р Е Ш И Л :
В удовлетворении исковых требований Кулакова А. А.овича, Шпыновой М. И. – отказать.
Решение может быть обжаловано в Санкт-Петербургский городской суд путём подачи апелляционной жалобы через Невский районный суд Санкт-Петербурга в течение 1 месяца со дня изготовления решения суда в окончательной форме.
Судья
Мотивированное решение изготовлено 16 июня 2023 года
Банкротство