Гражданский кодекс часть 1

рассмотрев в открытом судебном заседании дело по заявлению общества с ограниченной ответственностью Аудиторской компании «Эдип» (ОГРН <***>, ИНН <***>) (г. Биробиджан Еврейской автономной области)

признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области № П-07821-08/27 от 25.11.2011,

установил:

Общество с ограниченной ответственностью Аудиторская компания «Эдип» (далее – ООО АК «Эдип» общество) обратилось в Арбитражный суд Еврейской автономной области с заявлением к Биробиджанскому территориальному отделу Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области о признании недействительным предписания № П-07821-08/27 от 25.11.2011, вынесенного Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области.

В судебном заседании 08.02.2012 представитель общества пояснила, что в указании наименования заинтересованного лица допущена техническая ошибка, фактически, как следует из просительной части заявления, ответчиком является юридическое лицо - Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области (далее – Управление Роскомнадзора по Хабаровскому краю и ЕАО).

В судебном заседании представитель заявителя требования поддержала, просила признать недействительным предписание № П-07821-08/27 от 25.11.2011, пояснив, что обязанность Управления Пенсионного фонда РФ по г. Биробиджану и Биробиджанскому району ЕАО (далее – Пенсионный фонд), осуществляющего обработку персональных данных, соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке предусмотрена Соглашением № 136 от 08.08.2008 и дополнительным Соглашением № 136 от 01.12.2010. Общество не поручало ООО «Консультационно-внедренческая фирма «Навигатор» (далее – ООО «КВФ «Навигатор») обработку персональных данных и оно обработкой персональных данных не занимается. Персональные данные обрабатываются в системе 1С, услуги по сопровождению этой программы ООО «КВФ «Навигатор» не оказывает.

Представитель Управления Роскомнадзора по Хабаровскому краю и ЕАО требования не признала, пояснила, что оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора/соглашения, в котором должны быть определены: перечень действий с персональными данными; цели обработки и обязанность третьей стороны соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке; содержать требования к защите персональных данных в соответствии с требованиями статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон о персональных данных). Указанная информация в соглашениях с Пенсионным фондом и с ООО «КВФ «Навигатор» отсутствует.

Суд, заслушав представителей заявителя, представителя ответчика, исследовав и оценив представленные доказательства, пришел к следующему.

Постановлением Правительства РФ от 16.03.2009 № 228 утверждено Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Положение № 228).

В силу Положения № 228 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Положением № 228 к полномочиям Роскомнадзора отнесен государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

В Положении № 228 закреплено, что Роскомнадзор осуществляет свою деятельность непосредственно и через свои территориальные органы во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, общественными объединениями и иными организациями.

Приказом Министерства связи и массовых коммуникаций РФ от 07.04.2009 № 51, утверждено типовое положение о территориальном органе Роскомнадзора.

Территориальными органами Роскомнадзора являются управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в субъектах РФ.

Территориальные органы Роскомнадзора создаются в целях осуществления функций по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

В соответствии с планом проведения плановых проверок Управления Роскомнадзора по Хабаровскому краю и ЕАО на 2011 год, на основании приказа заместителя руководителя от 13.10.2011 № 643-П в период с 21.11.2011 по 25.11.2011 проведена плановая выездная проверка ООО «АК «Эдип» за соблюдением законодательства о персональных данных (л.д. л.д. 6 – 8).

Согласно части 12 статьи 9 Федерального закона от 26.12.2008 № 294-ФЗ «Озащите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» о проведении плановой проверки юридическое лицо, индивидуальный предприниматель уведомляются органом государственного контроля (надзора) не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора) о начале проведения плановой проверки заказным почтовым отправлением с уведомлением о вручении или иным доступным способом.

Уведомлением от 28.10.2011 общество уведомлено Управлением Роскомнадзора по Хабаровскому краю и ЕАО о проведении плановой выездной проверки, уведомление получено 01.11.2011 (л.д. л.д. 66, 67).

В ходе проверки Управлением Роскомнадзора по Хабаровскому краю и ЕАО выявлено нарушение части 3 статьи 6 Закона о персональных данных, выразившихся в отсутствии в текстах договора № 42/08 от 01.09.2008 с ООО «КВФ «Навигатор» на выполнение работ по обслуживанию средств вычислительной техники, оборудования и программного обеспечения, используемого ООО АК «Эдип» и Соглашения № 136 от 08.08.2008 Об обмене электронными документами в системе электронного документооборота ПФР по телекоммуникационным каналам связи с Пенсионным фондом - перечня действий (операций) с персональными данными; обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при обработке, а также отсутствуют требования к защите персональных данных в соответствии с требованиями статьи 19 Закона о персональных данных, что отражено в акте проверки от 25.11.2011 № А-07807-08/27 (л.д. л.д. 9, 10).

В сведениях о результатах проверки соблюдения законодательства РФ в области персональных данных ООО АК «Эдип» (приложение № 1 к акту проверки) (л.д. л.д. 38 - 44).

По результатам проверки Управлением Роскомнадзора по Хабаровскому краю и ЕАО обществу выдано предписание от 25.11.2011 № П-07821-08/27 об устранении выявленного нарушения части 3 статьи 6 Закона о персональных данных, выразившегося в отсутствии в текстах договоров /соглашений перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при обработке, а также отсутствуют требовании к защите персональных данных в соответствии с требованиями статьи 19 Закона о персональных данных (л.д. 45).

Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Оспариваемое предписание вынесено уполномоченным органом.

Не согласившись с предписанием от 25.11.2011 № П-07821-08/27, ООО АК «Эдип» обратилось в арбитражный суд с настоящими требованиями.

В силу статьи 3 Закона о персональных данных персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (пункт 2 статьи 3 Закона о персональных данных).

Исходя из положений Закона о персональных данных, общество признается оператором персональных данных.

Согласно части 1 статьи 6 Закона о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Законом. Обработка персональных данных допускается, в частности, в случае, если обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В силу части 3 статьи 6 Закона о персональных данных (в редакции Федерального закона от 25.07.2011) оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

В соответствии со статьей 5 Федерального закона от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» (далее – Федеральный закон № 167-ФЗ) обязательное пенсионное страхование в РФ осуществляется страховщиком, которым является Пенсионный фонд РФ. Согласно статье 5 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (далее – Федеральный закон № 27-ФЗ) Пенсионный фонд РФ также является органом, осуществляющим индивидуальный (персонифицированный) учет в системе обязательного пенсионного страхования.

ООО АК «Эдип» выступает страхователем. Общество обязано согласно статье 8 Федерального закона № 27-ФЗпредставлять в соответствующий орган Пенсионного фонда РФ сведения о всех лицах, работающих у него по трудовому договору, а также заключивших договоры гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы, за которых он уплачивает страховые взносы.

Согласно части 2 статьи 8 Федерального закона № 27-ФЗ сведения, могут быть предоставлены в Пенсионный фонд РФ посредством пересылки по телекоммуникационным каналам связи (через Интернет) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений.

Статьей 17 Федерального закона № 27-ФЗ руководители и должностные лица органов Пенсионного фонда РФ, участвующие в соответствии с настоящим Федеральным законом в сборе, хранении, передаче и использовании сведений, содержащихся в индивидуальных лицевых счетах застрахованных лиц, обязаны обеспечить исполнение законодательства РФ по вопросам защиты конфиденциальной информации (персональных данных).

Между Пенсионным фондом РФ и ООО АК «Эдип» (абонент системы) заключено соглашение № 136 от 08.08.2008. Согласно пункту 1.3 указанного соглашения стороны признают, что использование в системе средств криптографической защиты информации (СКЗИ), которые реализуют шифрование и электронную цифровую подпись, достаточно для обеспечения конфиденциальности информационного взаимодействия сторон по защите от несанкционированного доступа и безопасности обработки информации.

01 декабря 2010 года между Пенсионным фондом и обществом заключено дополнительное соглашение к соглашению № 136 от 08.08.2008 о дополнении раздела 5.1 и изложения его в следующей редакции: стороны договорились сохранять в режиме конфиденциальности сведения, полученные одной стороной в отношении другой в ходе исполнения обязательств по настоящему соглашению.

Как следует из соглашения № 136 от 08.08.2008, его предметом является обмен документами персонифицированного учета в электронном виде в рамках СЭД ПФР по телекоммуникационным каналам связи.

Таким образом, требование о соблюдении конфиденциальности распространяется, в том числе, как в силу условий соглашений, так и в силу требований действующего законодательства, на сведения, указанные в документах персонифицированного учета, содержащих персональные данные работников страхователя.

Согласно пункту 5.3 Соглашения № 136 от 08.08.2008 в редакции соглашения от 01.12.2010, Пенсионный фонд является координирующим органом в части криптографической защиты информации при организации взаимодействия абонентов и управлений Пенсионного фонда, организуя и обеспечивая безопасность хранения, обработки, проверки достоверности персональных данных и их передачи по каналам связи с использованием СКЗИ.

В указанном пункте перечислены действия (операции) с персональными данными, которые осуществляет Пенсионный фонд, а именно, организует и обеспечивает безопасность при: хранении, обработке, проверки достоверности и передаче.

Исходя из изложенного, в соглашении № 136 от 08.08.2008 с Пенсионным фондом и в дополнительном соглашении указаны: перечень действий (операций) с персональными данными; обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при обработке, имеются требования к защите персональных данных в соответствии с требованиями статьи 19 Закона о персональных данных.

ООО АК «Эдип» заключило с ООО «КВФ «Навигатор» договор № 42/08 от 01.09.2008 на выполнение работ по обслуживанию средств вычислительной техники, оборудования и программного обеспечения.

Вменяя обществу нарушение части 3 статьи 6 Закона о персональных данных, уполномоченный орган указал, что ООО АК «Эдип» поручило ООО «КВФ «Навигатор» обработку персональных данных, выраженную в доступе работников ООО «КВФ «Навигатор» к сведениям, содержащимся в базах оператора.

В силу статьи 19 Закона о персональных данных оператор персональных данных обязан принять необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Персональные данные работников общества и персональные данные работников клиентов общества обрабатываются в информационной системе «1С», что закреплено в приказе ООО АК «Эдип» и в Положении о порядке хранения персональных данных клиентов.

Данное обстоятельство не оспаривается ответчиком.

Постановлением Правительства РФ от 17.11.2007 № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение). Согласно пункту 2 Положения: безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

16 марта 2010 года вступил в силу Приказ ФСТЭК России № 58, согласно которому принято Положение о методах и способах защиты информации в информационных системах персональных данных. Методами и способами защиты информации от несанкционированного доступа являются, в том числе, реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации. Одним из основных методов и способов защиты информации является управление доступом - идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Из Положения о работе с персональными данными работников, Положения о порядке хранения персональных данных клиентов, приказа об установлении списка лиц, имеющих доступ к информационной системе «1С» в части обработки персональных данных работников, следует, что доступ к персональным данным работников имеют только уполномоченные на то приказом руководителя общества работники общества и только к тем данным, которые необходимы для выполнения конкретных функций.

Доступ к персональным данным работников клиентов общества также имеют только работники общества в пределах, необходимых для оказания услуг Заказчику, а также лица, привлеченные (к оказанию услуг по бухгалтерскому учету) на основании гражданско-правовых договоров.

Согласно Положению о порядке хранения персональных данных клиентов уполномоченные лица для предотвращения несанкционированного доступа к персональным данным обязаны каждый квартал менять пароль на каждую базу данных и сообщать об этом заместителю директора.

Доказательств того, что ООО «КВФ «Навигатор» имеет доступ при осуществлении работ по программному обеспечению непосредственно к персональным данным, содержащимся в информационной системе «1С», защищенным паролем, уполномоченным органом не представлено.

Учитывая, что: Соглашение № 136 от 08.08.2008 Об обмене электронными документами в системе электронного документооборота ПФР по телекоммуникационным каналам связи с Пенсионным фондом и дополнение к нему от 01.12.2010 содержат сведения, предусмотренные частью 3 статьи 6 Закона о персональных данных; материалами дела не подтверждено поручение ООО «КВФ «Навигатор» обработки персональных данных, требования заявителя подлежат удовлетворению.

В соответствии с пунктом 1 статьи 110 Арбитражного процессуального кодекса РФ судебные расходы, понесенные лицами, участвующими в деле, в пользу которых принят судебный акт, взыскиваются арбитражным судом со стороны.

Заявитель платежным поручением № 593 от 23.12.2011 уплатил государственную пошлину в размере 2 000 рублей.

Согласно статье 101 Арбитражного процессуального кодекса РФ судебные расходы состоят из государственной пошлины и судебных издержек, связанных с рассмотрением дела арбитражным судом.

В силу подпункта 1.1 пункта 1 статьи 333.37 Налогового кодекса РФ от уплаты государственной пошлины освобождаются государственные органы, органы местного самоуправления, выступающие по делам, рассматриваемым в арбитражных судах, в качестве истцов или ответчиков.

Следовательно, ответчик по настоящему делу освобожден от уплаты госпошлины.

Между тем, в исчерпывающем перечне статьи 333.40 НК РФ не предусмотрен возврат истцу (заявителю), требования которого удовлетворены полностью либо частично судом, уплаченной им госпошлины из федерального бюджета, и госпошлина, уплаченная истцом (заявителем) в таком случае, подлежит взысканию в его пользу с проигравшей стороны.

Руководствуясь статьями 110, 163, 167 – 171, 176, 198 – 201 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

Р Е Ш И Л :

Заявление общества с ограниченной ответственностью Аудиторской компании «Эдип», ОГРН <***>, ИНН <***>, удовлетворить.

Признать недействительным предписание Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области № П-07821-08/27 от 25.11.2011, как несоответствующим требованиям статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Взыскать с Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области, расположенного по адресу: г. Хабаровск, ул. Ленина, д.4, ОГРН <***>, в пользу общества с ограниченной ответственностью Аудиторской компании «Эдип» 2 000 рублей судебных расходов в виде уплаченной государственной пошлины.

Решение подлежит немедленному исполнению, но может быть обжаловано в порядке апелляционного производства в Шестой арбитражный апелляционный суд в течение месяца со дня принятия решения (изготовления его в полном объеме), а также в порядке кассационного производства в Федеральный арбитражный суд Дальневосточного округа при условии, что оно было предметом рассмотрения арбитражного суда апелляционной инстанции или суд апелляционной инстанции отказал в восстановлении пропущенного срока подачи апелляционной жалобы.

Апелляционная и кассационная жалобы подаются в арбитражные суды апелляционной и кассационной инстанций через Арбитражный суд Еврейской автономной области.

В случае обжалования решения в порядке апелляционного или кассационного производства информацию о времени, месте и результатах рассмотрения дела можно получить соответственно на интернет-сайте Шестого арбитражного апелляционного суда http://6aas.arbitr.ru или Федерального арбитражного суда Дальневосточного округа http://fasdvo.arbitr.ru.

Судья С.В. Янина