Гражданский кодекс часть 1

о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ярославской области,

третьи лица, не заявляющие самостоятельных требований относительно предмета спора, –

ФИО1, ФИО2, ФИО3, ФИО4, ФИО5, ФИО6,

и у с т а н о в и л :

публичное акционерное общество «ТНС энерго Ярославль» (далее – Общество) обратилось в Арбитражный суд Ярославской области с заявлением о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ярославской области (далее – Управление) от 31.10.2022 № П-76/6/67-нд/-/1/3.

К участию в деле в качестве третьих лиц, не заявляющих самостоятельных требований относительно предмета спора, привлечены ФИО1, ФИО2, ФИО3, ФИО4, ФИО5, ФИО6.

Решением Арбитражного суда Ярославской области от 18.02.2023 в удовлетворении заявления отказано.

Постановлением Второго арбитражного апелляционного суда от 11.05.2023 решение суда оставлено без изменения.

Общество не согласилось с принятыми судебными актами и обратилось в Арбитражный суд Волго-Вятского округа с кассационной жалобой.

Заявитель жалобы считает, что суды сделали выводы, не соответствующие фактическим обстоятельствам и имеющимся в деле доказательствам. Общество указывает на то, что оспариваемое предписание Управления носит неопределенный характер, не содержит указания на конкретные действия, которые надлежит совершить Обществу в целях устранения выявленного нарушения. Подробно доводы заявителя изложены в кассационной жалобе.

Управление в отзыве на кассационную жалобу возразило относительно доводов заявителя, просило оставить жалобу без удовлетворения.

Третьи лица отзывы на кассационную жалобу не представили.

Общество заявило ходатайство о рассмотрении дела в отсутствие представителя.

Иные лица, участвующие в деле, надлежащим образом извещенные о времени и месте рассмотрения кассационной жалобы, явку представителей в судебное заседание не обеспечили.

Законность принятых судебных актов проверена Арбитражным судом Волго-Вятского округа в порядке, установленном в статьях 274, 284 и 286 Арбитражного процессуального кодекса Российской Федерации (далее – АПК РФ).

Из материалов дела следует, что на основании решения от 14.10.2022 № 67-нд, изданного в соответствии с поручением заместителя председателя Правительства Российской Федерации от 12.10.2022 № ДЧ-П10-17250, Управлением в отношении Общества, зарегистрированного в реестре операторов, осуществляющих обработку персональных данных, за номером 08-0014394, в период с 18.10.2022 по 31.10.2022 проведена внеплановая документарная проверка в рамках федерального государственного контроля (надзора) за обработкой персональных данных. Учетный номер контрольного (надзорного) мероприятия в едином реестре контрольных (надзорных) мероприятий – 76220531000003875715.

Перечень документов и информации, предоставление которых юридическим лицом необходимо для достижения целей и задач проведения документарной проверки, изложен в приложении 1 к решению от 14.10.2022 № 67-нд.

В ходе проверочных мероприятий по результатам анализа представленных документов и сведений надзорный орган установил, что Общество в нарушение требований части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) допущено осуществление неправомерного доступа к информационной системе персональных данных потребителей своих услуг, повлекшее за собой распространение их персональных данных, в частности адресов электронной почты и номеров телефонов, неограниченному кругу лиц посредством размещения соответствующих сведений в информационно-телекоммуникационной сети «Интернет».

Результаты проверки отражены в справке о результатах внеплановой документарной проверки соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и в акте проверки от 31.10.2022 № А-76/6/67-нд/47.

В целях устранения выявленного нарушения надзорный орган выдал Обществу предписание от 31.10.2022 № П-76/6/67-нд/-/1/3 со сроком исполнения – 31.01.2023.

Управление не согласилось с данным предписанием и обратилось в арбитражный суд с соответствующим заявлением.

Руководствуясь положениями АПК РФ, Закона № 152-ФЗ, Арбитражный суд Ярославской области отказал в удовлетворении заявления. Суд исходил из отсутствия в совокупности условий, необходимых для признания оспариваемого предписания недействительным.

Второй арбитражный апелляционный суд согласился с выводом суда первой инстанции и оставил его решение без изменения.

Рассмотрев кассационную жалобу, Арбитражный суд Волго-Вятского округа не нашел правовых оснований для ее удовлетворения.

В соответствии с частью 1 статьи 198, частью 4 статьи 200, частью 2 статьи 201 АПК РФ, пунктом 6 совместного постановления Пленумов Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации от 01.07.1996 № 6/8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» для удовлетворения требований о признании недействительными ненормативных правовых актов государственных органов необходимо наличие двух обязательных условий: несоответствие их закону или иному нормативному правовому акту, а также нарушение прав и законных интересов заявителя.

Закон № 152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемой, в том числе юридическими лицами, с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2 Закона № 152-ФЗ).

Согласно статье 3 Закона № 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; распространением персональных данных являются действия, направленные на раскрытие персональных данных неопределенному кругу лиц; под информационной системой персональных данных понимается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

На основании части 1 статьи 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

В силу части 3 статьи 6 Закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим законом.

В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор (часть 5 статьи 6 Закона № 152-ФЗ).

Согласно статье 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

На основании части 1 статьи 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (пункты 2, 6, 9 части 2 статьи 19 Закона № 152-ФЗ).

Как свидетельствуют материалы дела, в ходе проверочных мероприятий Управление установило, что Общество допустило совершение неправомерного доступа к информационной системе персональных данных потребителей своих услуг, повлекшее за собой распространение персональных данных неограниченному кругу лиц посредством размещения соответствующих сведений в информационно-телекоммуникационной сети «Интернет».

Факт наличия указанного в акте проверки от 31.10.2022 № А-76/6/67-нд/47 нарушения требований законодательства о персональных данных подтверждается материалами настоящего дела, заявителем по существу не опровергнут.

В пояснениях от 19.10.2022 № 13/28802, данных надзорному органу, Общество отразило, что 02.07.2022 неустановленные лица осуществили несанкционированный доступ к электронному ресурсу corp.tns-e.ru и веб-приложению phpMyAdmin, внесли изменения в структуру электронных ресурсов, произвели затирание информации, копирование баз данных, а также выполнили замену главной страницы веб-сайта на страницу, содержащую требование о выплате денежных средств под угрозой размещения персональных данных клиентов Общества в открытом доступе. В связи с невыполнением выдвинутых требований 22.07.2022 в Telegram-канале было опубликовано сообщение с прикрепленным архивом, содержащим даты регистраций, пароли, электронные почтовые ящики и номера телефонов потребителей. Как указало Общество, распространение персональных данных стало возможным из-за уязвимостей CMS Bitrix (система управления сайтом), которые своевременно не устранили администраторы электронного ресурса, а также ввиду реализации требуемых мер лицом, с которым Обществом заключен договор оказания услуг от 04.04.2022 № 17/22/У, не в полном объеме.

Вместе с тем само по себе заключение договора от 04.04.2022 № 17/22/У, который, к тому же содержит положение о том, что именно заказчик, то есть Общество, отвечает за работу личных кабинетов физических и юридических лиц как единого объекта, хранит данные пользователей, необходимые для входа в личный кабинет, при одновременном наличии положений закона, возлагающих на заявителя обязанности обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного доступа к ним и их распространения, осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также прямо устанавливающих обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, не позволило судам прийти к выводу о том, что недопущение неправомерного доступа к информационной системе персональных данных и их распространения, принятие мер реагирования в случае установления факта неправомерного доступа и распространения персональных данных, повлекшего нарушение прав субъектов персональных данных, являющихся потребителями услуг Общества, находятся вне сферы контроля и компетенции Общества.

При таких обстоятельствах суды обоснованно указали на наличие у Управления оснований для выдачи Обществу оспариваемого предписания в целях устранения выявленного в ходе проверки нарушения обязательных требований в обозначенной сфере регулирования правоотношений.

Следовательно, суды правомерно отказали Обществу в удовлетворении заявления.

Выводы судов соответствуют материалам дела, им не противоречат и не подлежат переоценке судом кассационной инстанции в силу статьи 286 АПК РФ.

Доводы, изложенные в кассационной жалобе, не опровергают сделанные судами выводы и направлены на иную оценку собранных по делу доказательств и фактических обстоятельств дела, аналогичны ранее заявлявшимся в судах доводам, которым дана соответствующая правовая оценка.

С учетом изложенного основания для отмены принятых судебных актов у суда округа отсутствуют.

Нормы материального права применены судами первой и апелляционной инстанций правильно. Судом кассационной инстанции не установлены нарушения норм процессуального права, являющиеся в силу части 4 статьи 288 АПК РФ в любом случае основаниями для отмены принятых судебных актов. Кассационная жалоба не подлежит удовлетворению.

В соответствии со статьей 110 АПК РФ расходы по уплате государственной пошлины, связанной с рассмотрением кассационной жалобы, подлежат отнесению на заявителя.

Руководствуясь пунктом 1 части 1 статьи 287 и статьей 289 Арбитражного процессуального кодекса Российской Федерации, Арбитражный суд Волго-Вятского округа

ПОСТАНОВИЛ:

решение Арбитражного суда Ярославской области от 18.02.2023 и постановление Второго арбитражного апелляционного суда от 11.05.2023 по делу № А82-19720/2022 оставить без изменения, кассационную жалобу публичного акционерного общества «ТНС энерго Ярославль» – без удовлетворения.

Постановление вступает в законную силу со дня его принятия и может быть обжаловано в Судебную коллегию Верховного Суда Российской Федерации в срок, не превышающий двух месяцев со дня его принятия, в порядке, предусмотренном в статье 291.1 Арбитражного процессуального кодекса Российской Федерации.

Председательствующий

Н.Н. Домрачева

Судьи

О.В. Александрова

Н.Ш. Радченкова