Апелляционное определение СК по гражданским делам Московского городского суда от 20.06.2023 по делу N 33-27940/2023

Судебная коллегия по гражданским делам Московского городского суда в составе председательствующего Клюевой А.И., судей Князева А.А., Аванесовой Г.А., при помощнике судьи Шидаковой Р.Х., рассмотрев в открытом судебном заседании по докладу судьи Клюевой А.И., гражданское дело по апелляционным жалобам представителя истца Гаврюшиной П.О. - Кравченко Е.А., представителя ответчика ООО "Яндекс.Еда" - Курбанова Ш.К., на решение Замоскворецкого районного суда г. Москвы от 08 ноября 2022 г., которым постановлено:

Иск Гаврюшиной Полины Олеговны удовлетворить частично.

Взыскать с ООО "Яндекс.Еда"... в пользу Гаврюшиной... (паспортные данные) компенсацию морального вреда в размере 5 000 руб.

В удовлетворении остальной части исковых требований Гаврюшиной... отказать.

УСТАНОВИЛА:

Истец Гаврюшина П.О. обратилась в суд с иском к ответчикам ООО "Яндекс", ООО "Яндекс.Еда" о защите персональных данных, компенсации морального вреда.

Требования мотивированы тем, что "Яндекс.Еда" является сервисом для заказа быстрой доставки еды из ресторанов и продуктов из магазинов, через мобильные приложения или веб-сайт, работает более чем в 170 городах России. Администратором сервиса является ООО "Яндекс.Еда". В марте 2022 года служба информационной безопасности сервиса выявила утечку информации, в результате которой в сети Интернет были опубликованы и выложены на сайте https://saverudata.org/ личные данные пользователей. Впоследствии истец обнаружил свои данные в открытом доступе в сети Интернет. Согласно скриншоту с указанного сайта были распространены данные истца в виде имени и фамилии, номера телефона, адреса места жительства, а также адрес электронной почты. Разглашенные сведения позволяют однозначно идентифицировать истца, являются его персональными данными.

По мнению истца, ответчики не предприняли всех возможных организационных и технических мер для обеспечения конфиденциальности его персональных данных, что привело к их распространению в сети Интернет. В подтверждение указанных сведений представлены копию изображения (скриншот с сайта) www.saverudata.org, отчет об исследовании, составленный ООО "Центр цифровой криминалистики и права", а также полученное от ООО "Яндекс.Еда" электронное сообщение от 02.03.2022 об имевшей место утечке.

Обращаясь с иском в суд, истец просит признать незаконными действия ООО "Яндекс.Еда" и ООО "Яндекс", выраженные в непринятии необходимых и достаточных мер для обеспечения конфиденциальности персональных данных, обязать ответчиков опубликовать в течение 30 календарных дней с момента вступления решения суда на веб-сайте https://yandex.ru/, https://eda.yandex.ru, а также в мобильном приложении "Яндекс.Еда - заказ продуктов" в Google Play и App Store информацию о принятых мерах по обеспечению сохранности персональных данных после произошедшей утечки, а также улучшению контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, взыскать с ответчиков солидарно компенсацию морального вреда в размере 100 000 руб.

Представитель истца в судебное заседание явился, поддержал исковые требования в полном объеме, просил иск удовлетворить, пояснил, что истцу причинены нравственные страдания в связи с утечкой его персональных данных, поддержал письменный отзыв на возражения ответчиков.

Представители ответчика ООО "Яндекс.Еда" в судебное заседание явились, представили письменные возражения на иск, просили в удовлетворении требований отказать, ссылаясь на то, что доказательств причинения истцу морального вреда не представлено, равно как и доказательств распространения персональных данных истца в сети Интернет, а также отсутствует причинно-следственная связь между действиями (бездействием) ответчика и причиненным истцу вредом, кроме того, указали, что представленный истцом скриншот является недопустимым доказательством по делу, поскольку получен с нарушением законодательства, так как доступ к сайту и другим ресурсам был ограничен на основании ст.15.5 Закона об информации.

Представитель ответчика ООО "Яндекс" в суд явился, представил отзыв на иск, просил отказать в удовлетворении исковых требований, указал, что Общество является ненадлежащим ответчиком, поскольку не является оператором персональных данных.

Представитель третьего лица Роскомнадзора в судебное заседание не явился, представил ходатайство о рассмотрении дела в отсутствие третьего лица, указал, что на основании п.3.1 ч.3 ст.23 ФЗ "О персональных данных" интернет-ресурс https://saverudata.org/ внесен Роскомнадзором в Реестр нарушителей прав субъектов персональных данных.

Судом постановлено вышеуказанное решение, с которым не согласились истец Говрюшина П.О, ответчик ООО "Яндекс.Еда", по доводам апелляционных жалоб.

Проверив материалы дела, выслушав представителей сторон, обсудив доводы апелляционных жалоб, а также возражений к ним, судебная коллегия приходит к выводу о том, что не имеется оснований для отмены решения суда, постановленного в соответствии с фактическими обстоятельствами дела и требованиями действующего законодательства.

В соответствии с ч. 1 ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайны, защиту своей чести и доброго имени.

В силу ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Отношения, связанные с обработкой персональных данных физических лиц, а также с обеспечением защиты: прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну регулируются Федеральным законом N 152-ФЗ "О персональных данных".

Согласно п. 1 ст. 3 Закона о персональных данных персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).

В соответствии с п. 5 ст. 3 Федерального закона N 152-ФЗ "О персональных данных" под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

В соответствии с п. 6 ст. 3 указанного Федерального закона под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Согласно н. 1 ч. 1 ст. 6 ФЗ "О персональных данных" обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

В соответствии с частью 2 статьи 24 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

В соответствии с частью 1 статьи 150 ГК РФ жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна, право свободного передвижения, выбора места пребывания и жительства, право на имя, право авторства, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.

Согласно ст. 151 ГК РФ если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права, либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. При определении размера компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред.

Судом первой инстанции установлено, что истец Говрюшина П.О. является пользователем сервиса "Яндекс.Еда". Данное обстоятельство ответчиком не оспорено.

Авторизация пользователей сервиса осуществляется по номеру телефона. Персональные данные пользователей сервиса обрабатываются для исполнения договора, стороной которого является субъект персональных данных.

В соответствии с пунктом 3.6 Пользовательского соглашения сервиса "Яндекс.Еда" пользователь соглашается с тем, что ООО "Яндекс.Еда" вправе хранить персональную информацию пользователя не менее трех лет с даты исполнения рестораном и/или доставщиком соответствующего заказа, оформленного с использованием сервиса "Яндекс.Еда".

В марте 2022 года пользователи указанного сервиса получили электронное уведомление от службы поддержки сервиса "Яндекс.Еда" (love@eda.yandex.ru), в котором сообщилось, что Служба информационной безопасности Яндекс Еды выявила внутреннюю утечку данных о заказах в сервисе, в результате которой в сети Интернет были опубликованы номера телефонов клиентов и техническая информация о заказах.

23.03.2022 ГСУ СК РФ возбуждено уголовное дело в отношении неустановленных лиц по признакам преступлений, предусмотренных ч.1 ст.137, ч.3 ст.272, ч.2 ст.273 УК РФ.

Постановлением от 12.08.2022 ООО "Яндекс.Еда" признано потерпевшим по данному уголовному делу.

Из указанного постановления следует, что не позднее 23.03.2022 неустановленные лица, используя технические устройства с доступом в информационно-телекоммуникационную сеть Интернет и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершили DDos-атаки на сервис "Яндекс.Еда", после чего в этот же день распространили в сети Интернет на странице, расположенной по веб-адресу: https://saverudata.org/map/, незаконно полученные сведения о частной жизни пользователей сервиса "Яндекс.Еда", доступные неопределенному кругу лиц, чем причинили вред деловой репутации ООО "Яндекс.Еда".

В силу ст. 7 Федерального закона от 27.07.2006 N 152 "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии со ст. 17 Федерального закона от 27.07.2006 N 152-ФЗ, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Постановлением мирового судьи судебного участка N101 адрес от 21 апреля 2022 г, оставленным без изменения решением Замоскворецкого районного суда г.Москвы от 08 июня 2022г, ООО "Яндекс.Еда" признано виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ.

Ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

Как следует из вышеупомянутого постановления, ООО "Яндекс.Еда" осуществляет свою деятельность с нарушением требований законодательства в сфере связи, информационных технологий и массовых коммуникаций, а именно: в результате недобросовестных действий сотрудника ООО "Яндекс.Еда" в сеть попала база заказов, содержащая данные о пользователях, содержащие, в том числе, их персональные данные: имя, адрес заказа (адрес места жительства), номер телефона, сведения о заказе пользователя. Данные нарушения выявлены в ходе мониторинга электронных СМИ Роскомнадзором 01.03.2022.

Вышеуказанными судебными актами установлены факт совершения административного правонарушения и виновность ООО "Яндекс.Еда" в утечке персональных данных (обработке персональных данных) пользователей сервиса.

В силу ч.4 ст. 61 ГПК РФ вступившее в законную силу постановление суда по делу об административном правонарушении обязательны для суда, рассматривающего дело о гражданско-правовых последствиях действий лица, в отношении которого они вынесены, по вопросам, имели ли место эти действия и совершены ли они данным лицом.

Согласно представленному стороной истца скриншоту страницы https://saverudata.org/ следует, что в открытом доступе содержится информация, которая в совокупности позволяет отнести указанные сведения конкретно истцу: имя Гаврюшина.., телефон телефон, адрес: адрес, адрес электронной почты -... л.д. 10). Указанные данные являются персональными данными истца, что согласуется с исследованными в ходе судебного разбирательства доказательствами.

Согласно отчету N1605-22 от 16.05.2022, проведенному специалистом ООО "Центр цифровой криминалистики и права", на исследование представлен флеш-накопитель с содержащимися на нем таблицами, которые могли быть получены в результате выгрузки баз данных, хранящих информацию о клиентах сервиса доставки "Яндекс". Среди содержимого обнаружена информация, имеющая признаки персональных данных. Установлена связь между данными истца и записью в исследуемых файлах (стр. 12, 16-17 отчета).

Разрешая спор, суд первой инстанции признал скриншот сайта допустимым доказательством, поскольку ответчиком не представлено доказательств, опровергающих совпадение информации, содержащейся в сети Интернет, и информации, содержащейся в базе данных о клиентах ответчика.

Оценив собранные по делу доказательства в их совокупности и взаимосвязи, суд первой инстанции пришел к правильному выводу, что ответчиком не был обеспечен необходимый уровень защищенности персональных данных пользователей сервиса, вследствие чего персональные данные истца были разглашены неограниченному кругу лиц в отсутствие какого-либо его согласия.

В п. 2 Постановления Пленума Верховного Суда РФ N 10 "О некоторых вопросах применения законодательства о компенсации морального вреда" разъяснено, что под моральным вредом понимаются нравственные или физические страдания, причиненные действиями (бездействием), посягающими на принадлежащие гражданину от рождения или в силу закона нематериальные блага (жизнь, здоровье, достоинство личности, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна и т.п.), или нарушающими его личные неимущественные права (право на пользование своим именем, право авторства и другие неимущественные права в соответствии с законами об охране прав на результаты интеллектуальной деятельности) либо нарушающими имущественные права гражданина.

Компенсация морального вреда является частью установленного законом механизма восстановления нарушенного права субъекта персональных данных.

Таким образом, при установлении факта нарушения, у гражданина возникает право на компенсацию морального вреда, причиненного указанным нарушением.

Согласно пункту 8 Постановления Пленума ВС РФ от 20 декабря 1994 года N 10 размер компенсации зависит от характера и объема причиненных истцу нравственных или физических страданий, степени вины ответчика в каждом конкретном случае, иных заслуживающих внимания обстоятельств, и не может быть поставлен в зависимость от размера удовлетворенного иска о возмещении материального вреда, убытков и других материальных требований. При определении размера компенсации вреда должны учитываться требования разумности и справедливости.

Разрешая заявленные требования, оценив собранные по делу доказательства, применительно к положениям вышеназванных норм закона, с учетом установленных судом конкретных обстоятельств дела, учитывая характер нарушений прав истца, объем причиненных ему нравственных страданий, суд пришел к выводу о наличии оснований для взыскания в пользу истца компенсации морального вреда в размере 5 000 руб, взыскав указанную сумму с ответчика ООО "Яндекс.Еда", в остальной части требования отказал.

Отклоняя требования о возложении на ответчика обязанности публикации сведений о принятых правовых, организационных и технических мерах по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ "О персональных данных", суд не усмотрел законных оснований к их удовлетворению.

Отказывая в удовлетворении исковых требований к ООО "Яндекс", суд исходил из того, что Общество не является стороной Соглашения с пользователями сервиса "Яндекс.Еда", не владеет указанным сервисом, в связи с чем является ненадлежащим ответчиком, и оснований для возложения на него ответственности за нарушение законодательства о персональных данных в связи с утечкой данных истца в сервисе "Яндекс.Еда", принадлежащем иному юридическому лицу, не имеется.

С выводами суда судебная коллегия соглашается, поскольку они подробно мотивированы, соответствуют установленным обстоятельствам дела, основаны на правильном применении и толковании норм материального права и исследованных судом доказательствах, оценка которых произведена по правилам ст. 67 ГПК РФ с учетом доводов и возражений, приводимых сторонами. Оснований для иной оценки представленных доказательств у судебной коллегии не имеется.

В соответствии с ч. 1 ст. 9 Закона о персональных данных согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным.

Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (ч. 3 ст. 9 Закона о персональных данных).

Пунктом 7 ч. 4 названной статьи установлено, что согласие должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

В соответствии со ст. 17 Закона о персональных данных субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

Довод апелляционной жалобы о том, что судом первой инстанции неправомерно взыскан размер компенсации морального вреда, суд апелляционной инстанции не принимает, поскольку компенсация морального вреда не предполагает возможности его точного выражения в определенной денежной сумме, в то же время, предусмотренная законом компенсация должна отвечать признакам справедливого вознаграждения потерпевшего за перенесенные страдания, определяя размер денежной компенсации морального вреда в размере 5 000 руб, суд первой инстанции дал надлежащую оценку доказательствам, имеющимся в деле.

Судебная коллегия приходит к выводу о том, что доводы апелляционных жалоб не содержат правовых оснований к отмене решения суда, по существу сводятся к изложению обстоятельств, являвшихся предметом исследования и оценки суда первой инстанции, а также к выражению несогласия с произведенной судом оценкой представленных по делу доказательств, не содержат фактов, не проверенных и не учтенных судом первой инстанции при рассмотрении дела и имеющих юридическое значение для вынесения судебного акта по существу, влияющих на обоснованность и законность судебного постановления, либо опровергающих выводы суда первой инстанции, повторяют позицию сторон, изложенную исковом заявлении, а также в возражениях на иск, в связи с чем, являются несостоятельными и не могут служить основанием для отмены законного и обоснованного решения суда.

Судебная коллегия считает, что суд с достаточной полнотой исследовал все обстоятельства дела, дал надлежащую оценку представленным доказательствам, выводы суда не противоречат материалам дела, обстоятельства, имеющие значение по делу судом установлены правильно. Нарушений норм материального и процессуального права не установлено.

На основании изложенного, руководствуясь ст. ст. 328-329 ГПК РФ, судебная коллегия

ОПРЕДЕЛИЛА:

Решение Замоскворецкого районного суда г. Москвы от 08 ноября 2022 г. - оставить без изменения, апелляционные жалобы - без удовлетворения.

Председательствующий:

Судьи:

...