Гражданский кодекс часть 1

рассмотрев в открытом судебном заседании дело по заявлению общества с ограниченной ответственностью Аудиторской компании «Эдип» (ОГРН <***>, ИНН <***>) (г. Биробиджан Еврейской автономной области)

признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области № П-07823-08/27 от 25.11.2011

установил:

Общество с ограниченной ответственностью Аудиторская компания «Эдип» (далее – ООО АК «Эдип» общество) обратилось в Арбитражный суд Еврейской автономной области с заявлением к Биробиджанскому территориальному отделу Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области о признании недействительным предписания № П-07823-08/27 от 25.11.2011, вынесенного Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области.

В судебном заседании 08.02.2012 представитель общества пояснила, что в указании наименования заинтересованного лица допущена техническая ошибка, фактически, как следует из просительной части заявления, ответчиком является юридическое лицо - Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области (далее – Управление Роскомнадзора по Хабаровскому краю и ЕАО).

В судебном заседании представитель заявителя требования поддержала, просила признать недействительным предписание № П-07823-08/27 от 25.11.2011, указав, что наличие утвержденной номенклатуры со сроками хранения не является обязательным требованием, предусмотренным Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон о персональных данных). В соответствии с действующим законодательством документы, содержащие персональные данные работников (заявления, приказы, трудовые договоры и т.д.) хранятся 75 лет. Документы, предоставляемые обществу клиентами в рамках оказания услуг, в полном объеме возвращаются после выполнения работ. Кроме того, бухгалтерские документы, аудиторские заключения подлежат хранению не менее пяти лет. Закон о персональных данных вступил в силу в январе 2007 года, срок уничтожения документов не наступил. В связи с чем документов, подлежащих уничтожению, не было.

Представитель Управления Роскомнадзора по Хабаровскому краю и ЕАО требования не признала, пояснила, что не все документы, содержащие персональные данные работников, подлежат хранению 75 лет. В обществе отсутствует локальный акт, его наименование не обязательно должно быть «номенклатура дел», устанавливающий сроки хранения документов, в том числе, содержащих персональные данные клиентов и их работников. Одним из необходимых и обязательных мероприятий по защите персональных данных от несанкционированного случайного доступа и иных неправомерных действий в деятельности юридического лица, позволяющим установить факт обработки персональных данных не дольше, чем определено целями общества, и явилась бы разработка и утверждение локальных актов, в том числе, номенклатуры дел. Заявителем не было представлено ни одного документа, подтверждающего факт уничтожения материальных носителей, содержащих персональные данные, с момента начала осуществления деятельности – 1995 года.

Суд, заслушав представителей заявителя, представителя ответчика, исследовав и оценив представленные доказательства, пришел к следующему.

Постановлением Правительства РФ от 16.03.2009 № 228 утверждено Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Положение № 228).

В силу Положения № 228 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Положением № 228 к полномочиям Роскомнадзора отнесен государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных.

В Положении № 228 закреплено, что Роскомнадзор осуществляет свою деятельность непосредственно и через свои территориальные органы во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, общественными объединениями и иными организациями.

Приказом Министерства связи и массовых коммуникаций РФ от 07.04.2009 № 51, утверждено типовое положение о территориальном органе Роскомнадзора.

Территориальными органами Роскомнадзора являются управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в субъектах РФ.

Территориальные органы Роскомнадзора создаются в целях осуществления функций по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

В соответствии с планом проведения плановых проверок Управления Роскомнадзора по Хабаровскому краю и ЕАО на 2011 год, на основании приказа заместителя руководителя от 13.10.2011 № 643-П в период с 21.11.2011 по 25.11.2011 проведена плановая выездная проверка ООО АК «Эдип» за соблюдением законодательства о персональных данных (л.д. л.д. 5 – 7).

Согласно части 12 статьи 9 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» о проведении плановой проверки юридическое лицо, индивидуальный предприниматель уведомляются органом государственного контроля (надзора) не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора) о начале проведения плановой проверки заказным почтовым отправлением с уведомлением о вручении или иным доступным способом.

Уведомлением от 28.10.2011 общество уведомлено Управлением Роскомнадзора по Хабаровскому краю и ЕАО о проведении плановой выездной проверки, уведомление получено 01.11.2011 (л.д. л.д. 55, 56).

В ходе проверки Управлением Роскомнадзора по Хабаровскому краю и ЕАО выявлено нарушение части 4 статьи 21 Закона о персональных данных, выразившихся в несоблюдении оператором установленных требований обработки персональных данных после достижения цели обработки, что отражено в акте проверки от 25.11.2011 № А-07807-08/27 (л.д. л.д. 8, 9).

В сведениях о результатах проверки соблюдения законодательства РФ в области персональных данных ООО АК «Эдип» (приложение № 1 к акту проверки) указано, что в обществе отсутствуют: утвержденная номенклатура дел со сроками хранения; документы, подтверждающие порядок уничтожения документов, не подлежащих длительному и постоянному хранению, а также подтверждающие факт уничтожения документов; отсутствует приказ о постоянно действующей экспертной комиссии по уничтожению документов, не подлежащих хранению; не назначено должностное лицо, ответственное за архив общества, вследствие чего уничтожение документов с малым сроком хранения (от 1 года до 5 – 10 лет) не производилось с 1995 года, то есть с момента начала осуществления деятельности (л.д. л.д. 31 - 37).

По результатам проверки Управлением Роскомнадзора по Хабаровскому краю и ЕАО обществу выдано предписание от 25.11.2011 № П-07823-08/27 об устранении выявленного нарушения части 4 статьи 21 Закона о персональных данных, выразившегося в несоблюдении оператором установленных требований обработки персональных данных после достижения цели обработки (л.д. 12).

Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Оспариваемое предписание вынесено уполномоченным органом.

Не согласившись с предписанием от 25.11.2011 № П-07823-08/27, ООО АК «Эдип» обратилось в арбитражный суд с настоящими требованиями.

В силу статьи 3 Закона о персональных данных персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (пункт 2 статьи 3 Закона о персональных данных).

Под обработкой персональных данных в соответствии с пунктом 3 статьи 3 Закона о персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Исходя из положений Закона о персональных данных, общество признается оператором персональных данных.

Пунктом 8 статьи 3 Закона о персональных данных установлено, что уничтожение персональных данных – действия, в результате которых становиться невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

В силу части 7 статьи 5 Закона о персональных данных в редакции Федерального закона от 25.07.2011 № 261-ФЗ хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе, о сроках обработки персональных данных, в том числе о сроках их хранения (пункт 6 части 7 статьи 14 Закона о персональных данных).

Согласно частям 1, 4 статьи 18.1 Закона о персональных данных оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим законом и принятыми в соответствии с ним нормативными правовыми актами, в частности, издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Оператор обязан представить вышеуказанные локальные акты по запросу уполномоченного органа по защите прав субъектов персональных данных.

В соответствии с частью 4 статьи 21 Закона о персональных данных в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором либо иным соглашением между оператором и субъектом персональных данных.

Обществом разработано и 31.12.2006 утверждено руководителем Положение о работе с персональными данными работников. Положение определяет порядок работы (получение, обработки, использования, хранения и т.д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю (л.д. л.д. 13 – 15).

В приложении № 1 перечислены документы, содержащие персональные данные работников.

Для отдела сопутствующих услуг, существующего в обществе, ООО АК «Эдип» разработано и 16.09.2010 года утверждено Положение о порядке хранения персональных данных клиентов общества. Настоящее положение устанавливает порядок получения, обработки и хранения сотрудниками отдела сопутствующих услуг общества персональных данных работников организаций, с которыми общество заключило договоры на бухгалтерское обслуживание. Положение обязательно для исполнения только в отношении тех заказчиков, одним из условий договора с которыми является начисление, перечисление заработной платы, составление персонифицированной отчетности в Пенсионный фонд РФ и передача сведений по форме 2-НДФЛ в налоговые органы, а также совершение иных действий, связанных с получением, обработкой и хранением персональных данных (л.д. л.д. 52, 53).

Согласно разделу 2 вышеуказанного Положения заказчик услуг обязан предоставить ответственному лицу общества персональные данные своих работников, в том числе: паспортные данные, сведения о прописке, сведения о стаже, трудовой договор, кадровые приказы, ИНН, СНИЛС, банковские реквизиты для перечисления вознаграждения, данные о детях или родственниках в случае предоставления социальных налоговых вычетов.

Пунктом 3.1 Положения установлено, что обработка персональных данных осуществляется в специализированных программах 1С.

В силу пункта 4.4 Положения при расторжении договора на бухгалтерское обслуживание с заказчиком все персональные данные передаются заказчику по описи.

В материалы дела в подтверждение того, что при заключении договора на бухгалтерское обслуживание для каждого клиента приобретается специализированная программа 1С, обществом представлены товарные накладные (л.д. л.д. 68, 69).

Кроме того, заявитель в качестве доказательств возврата клиентам переданных для исполнения договора на бухгалтерское облуживание документов, содержащих персональные данные, представил опись документов, передаваемых клиенту.

Представители общества в ходе рассмотрения дела указывали на то обстоятельство, все документы, содержащие персональные данные, возвращаются клиентам, с которыми были заключены договоры на бухгалтерское обслуживание.

Вместе с тем, в пункте 4.4 Положения о порядке хранения персональных данных клиентов общества указано лишь одно основание возвращения документов клиенту, а именно, расторжение договора.

Положением не предусмотрено обязательство общества по возвращению документов клиенту, переданных в рамках договора на бухгалтерское облуживание, содержащими персональные данные, в случае прекращения договора в связи с выполнением всех обязательств либо в связи с истечением срока его действия.

Представленная опись документов, возвращаемых клиенту, также не может служить доказательством возврата всех документов и иных носителей, содержащих персональные данные работников клиента, поскольку, как следует из пункта 3.1 Положения обработка персональных данных осуществляется в специализированных программах 1С, данная программа приобретается в рамках исполнения обязательства по каждому отдельному договору. Но в описи отсутствует информация о передаче клиенту программы 1С.

Следовательно, ссылка заявителя о возвращении клиенту всех переданных персональных данных по окончании срока действия договора и выполнения всех обязательств по договору, не подтверждается материалами дела.

Каких-либо иных доказательств в обоснование своих доводов о возврате в полном объеме документов (их электронных форм) клиентам обществом не представлено, тогдакак в судебном заседании и в определении от 08.02.2011 суд предложил заявителю представить описи о возвращении документов, типовой договор оказания услуг (для подтверждения обязательства по возврату документов).

Уничтожение персональных данных по достижении цели обработки (окончания договорных отношений на бухгалтерское обслуживание) ООО АК «Эдип» не осуществляло. Акты уничтожения не представлены.

Статья 17 Федерального закона от 21.11.1996 № 129-ФЗ «О бухгалтерском учете» (далее – Федеральный закон № 129-ФЗ) устанавливает, что организации обязаны хранить первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет.

Данное требование относится, согласно статьям 1, 2, 9 Федерального закона 129-ФЗ, к документам самого общества, но не к копиям документов, которые передаются обществу его клиентами.

Для аудиторского отдела общества, для исполнения требований Федерального закона от 13.07.2001 № 119-ФЗ «Об аудиторской деятельности» и Федерального правила (стандарта) аудиторской деятельности № 2 «Документирование аудита», утвержденного Постановлением Правительства РФ от 23.09.2002 № 696 01.12.2007 утверждены Правила формирования и ведения архива в аудиторском отделе ООО АК «Эдип». Согласно Правилам, срок хранения документов в архиве не мене пяти лет. Течение срока хранения по обязательному аудиту начинается с даты выдачи аудиторского заключения. Архивные документы с истекшим сроком хранения выделяются к уничтожению в установленном порядке.

Факты уничтожения документов аудиторским отделом также не подтверждены обществом, акты уничтожения не представлены.

Федеральный закон № 129-ФЗ, ранее действовавший Федеральный закон от 13.07.2001 № 119-ФЗ «Об аудиторской деятельности», и действующий в настоящее время Федеральный закон от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности», на которые ссылается общество в обоснование своих требований, устанавливают минимальные сроки хранения документов.

Из материалов дела следует, что в обществе разработаны локальные акты для каждого отдела, но, вместе с тем, ни в одном из вышеперечисленных локальных актов не определен точный срок хранения персональных данных как работников самого общества, так и персональных данных работников клиентов. Это обстоятельство влечет за собой невозможность определения даты достижения цели обработки и, следовательно, отсутствие возможности прекращения обработки персональных данных с даты достижения цели их обработки, что является нарушением части 4 статьи 21 Закона о персональных данных.

Судом не принимается довод заявителя, о том, что поскольку Закон о персональных данных вступил в действие 26.01.2007, то минимальные сроки, установленные законом (пять лет) следует исчислять с момента вступления его в силу.

Поскольку Закон о персональных данных вступил в действие 26.01.2007, именно с этого момента операторы персональных данных были обязаны руководствоваться им в своей деятельности, касающейся обработки персональных данных и производить уничтожение документов, в порядке определенном данным Законом – по достижении цели обработки.

Между тем, с момента вступления в действие Закона о персональных данных до проверки Роскомнадзором общество не производило уничтожение персональных данных, срок хранения которых истек. Так, согласно Приказу Министерства культуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», к документам с пятилетним сроком хранения относятся такие документы, содержащие персональные данные работников, обязательно составляемые организацией в ходе своей деятельности, как: командировочные удостоверения (668), переписка по воинскому учету работников(690), листки нетрудоспособности (896) и иные.

Аналогичные положения содержались в утратившем силу Перечне типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения от 06.10.2000.

Кроме того, как следует из приложения к акту проверки и не оспаривается обществом, у заявителя также отсутствуют: документы, подтверждающие порядок уничтожения документов, не подлежащих длительному и постоянному хранению, а также подтверждающие факт уничтожения документов; отсутствует приказ о постоянно действующей экспертной комиссии по уничтожению документов, не подлежащих хранению; не назначено должностное лицо, ответственное за архив общества (за исключением аудиторского отдела).

При таких обстоятельствах, материалами дела подтверждено выявленное в ходе проверки административным органом нарушение обществом требований части 4 статьи 21 Закона о персональных данных, выразившегося в несоблюдении оператором установленных требований обработки персональных данных после достижения цели обработки (уничтожение документов с малым сроком хранения (от 1 года до 5 – 10 лет) не производилось с 1995 года, то есть с момента начала осуществления деятельности).

В силу пункта 1 части 1 статьи 17 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» в случае выявления при проведении проверки нарушений юридическим лицом обязательных требований должностные лица органа государственного контроля (надзора), проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны выдать предписание юридическому лицу об устранении выявленных нарушений с указанием сроков их устранения.

Оспариваемое предписание выдано в порядке статьи 17 указанного Закона и содержит требование об устранении выявленных нарушений с указанием сроков их устранения.

На основании пункта 5 статьи 200 Арбитражного процессуального кодекса РФ обязанность по доказыванию законности совершения, оспариваемых действий (бездействий), а также обстоятельств, послуживших для совершения оспариваемых действий (бездействий) возлагается на орган или лицо, которые совершили действия (бездействия).

В силу статьи 65 Арбитражного процессуального кодекса РФ каждое лицо, участвующее в деле, должно доказать те обстоятельства, на которые оно ссылается в обоснование своих требований и возражений.

Таким образом, статья 200 Арбитражного процессуального кодекса РФ не освобождает заявителя от предусмотренной статьей 65 Арбитражного процессуального кодекса РФ необходимости доказывания тех обстоятельств, на которые он ссылается в обоснование своих требований и возражений.

Однако в нарушение положений названных правовых норм общество не представило доказательств несоответствия обжалуемого акта управления Роскомнадзора по Хабаровскому краю и ЕАО действующему законодательству и нарушения оспариваемым действиями его прав и имущественных интересов.

При таких обстоятельствах, основания для удовлетворения требования заявителя о признании недействительным предписания Управления Роскомнадзора по Хабаровскому краю и ЕАО № П-07823-08/27 от 25.11.2011 отсутствуют.

В соответствии со статьей 110 Арбитражного процессуального кодекса РФ расходы по оплате государственной пошлина в размере 2 000 относятся на заявителя.

Руководствуясь статьями 110, 163, 167 – 170, 176, 198 – 201 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

Р Е Ш И Л :

В удовлетворении заявления общества с ограниченной ответственностью Аудиторской компании «Эдип», ОГРН <***>, ИНН <***>, о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области № П-07823-08/27 от 25.11.2011, - отказать.

Решение может быть обжаловано в порядке апелляционного производства в Шестой арбитражный апелляционный суд в течение месяца со дня принятия решения (изготовления его в полном объеме), а также в порядке кассационного производства в Федеральный арбитражный суд Дальневосточного округа при условии, что оно было предметом рассмотрения арбитражного суда апелляционной инстанции или суд апелляционной инстанции отказал в восстановлении пропущенного срока подачи апелляционной жалобы.

Апелляционная и кассационная жалобы подаются в арбитражные суды апелляционной и кассационной инстанций через Арбитражный суд Еврейской автономной области.

В случае обжалования решения в порядке апелляционного или кассационного производства информацию о времени, месте и результатах рассмотрения дела можно получить соответственно на интернет-сайте Шестого арбитражного апелляционного суда http://6aas.arbitr.ru или Федерального арбитражного суда Дальневосточного округа http://fasdvo.arbitr.ru.

Судья С.В. Янина