Гражданский кодекс часть 1

заинтересованное лицо: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курганской области (ОГРН <***>)

третье лицо: ФИО1

о признании недействительным предписания от 22.04.2013 № П-45-03/002

при участии в заседании представителей:

от заявителя: ФИО2, представитель по доверенности от 11.01.2013 №2/01-13,

от заинтересованного лица: ФИО3, представитель по доверенности от 18.06.2013 №15, ФИО4, представитель по доверенности от 23.01.2013 №04,

от третьего лица: 1. явки нет, извещен;

установил:

Открытое акционерное общество «Энергосбытовая компания «Восток» (ОГРН <***>) (далее – ОАО «ЭК «Восток», заявитель, общество) обратилось в Арбитражный суд Курганской области с заявлением (с учётом уточнённого заявления) о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курганской области (далее – заинтересованное лицо, Роскомнадзор) от 22.04.2013 № П-45-03/002 об устранении выявленного нарушения.

В обоснование заявленных требований заявитель указал, что в оспариваемом предписании указано на нарушение обществом части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения и нарушение части 3 статьи 6 названного закона – поручение иному лицу (ООО «ЕРЦ «Прогресс») осуществлять обработку персональных данных без согласия субъекта персональных данных. Общество считает предписание недействительным, поскольку полагает, что номер лицевого счёта, площадь помещения, сумма начисления и (или) задолженности, показания электрического счётчика не являются персональными данными, поскольку не относятся к субъекту персональных данных, считает, что поданное в уполномоченный орган уведомление об обработке персональных данных содержит полную и достоверную информацию (часть 3 статьи 22 Закона № 152-ФЗ), ссылаясь на положения пунктов 5 и 7 части 1 статьи 6 Закона № 152-ФЗ, заявитель указывает, что в целях исполнения обязательств и реализации прав по договору, заключенному между оператором и субъектом персональных данных, оператору не требуется получать от субъекта согласия на обработку персональных данных. Передача персональных данных третьим лицам осуществляется ОАО «ЭК «Восток» исключительно в целях исполнения обязательств по договорам энергоснабжения. Считает, что оспариваемое предписание не соответствует закону, нарушает права и законные интересы заявителя, возлагает обязанности по устранению недоказанных нарушений под угрозой административной ответственности.

Представитель заявителя в судебном заседании на доводах заявления и уточненного заявления настаивал. Полагает, что отсутствие в действиях ОАО «ЭК «Восток» нарушений требований Закона № 152-ФЗ подтверждается, в том числе и определением заместителя прокурора города Кургана об отказе в возбуждении дела об административном правонарушении.

Представитель заинтересованного лица в судебном заседании по заявленному требованию возражал по основаниям, изложенным в представленном отзыве и дополнении к отзыву. Указал, что основанием для проведения проверки явилась жалоба ФИО1, поступившая из Прокуратуры города Кургана, в ходе которой были выявлены нарушения, указанные в оспариваемом предписании. По мнению заинтересованного лица, доводы заявителя не соответствуют требованиям действующего законодательства. Предписание оформлено и выдано уполномоченным лицом, содержит прямые указания на устранение нарушений. Просит в удовлетворении заявления отказать.

Третье лицо ФИО1 в судебное заседание не явился, извещен надлежащим образом в порядке статьи 123 Арбитражного процессуального кодекса Российской Федерации, а также посредством размещения на официальном сайте Арбитражного суда Курганской области в сети Интернет информации о времени и месте проведения судебного заседания.

В дело ФИО1 представлен письменный отзыв, в котором он поддержал позицию заинтересованного лица. Просил в удовлетворении заявленных требований отказать.

На основании статьи 156 Арбитражного процессуального кодекса Российской Федерации дело рассмотрено в отсутствие третьего лица.

Заслушав объяснения лиц, участвующих в деле, рассмотрев материалы дела, суд приходит к следующему.

Как следует из материалов дела, в связи с поступившим из Прокуратуры г. Кургана заявлением ФИО1 от 19.03.2013 Управлением Роскомнадзора по Курганской области на основании приказа руководителя Управления Роскомнадзора по Курганской области от 28.03.2013 № 038 (с изменениями от 22.04.2013) проведена внеплановая документарная проверка в отношении «Энергосбыт» - филиала ОАО «ЭК «Восток», по вопросам соблюдения обязательных требований в области обработки персональных данных.

По результатам проверки составлен Акт проверки от 22.04.2013 № А-45-03/020.

Управлением Роскомнадзора по Курганской области по выявленным нарушениям заявителю выдано предписание от 22.04.2013 № П-45-03/002, в котором указано на нарушения, допущенные ОАО «ЭК «Восток», а именно нарушение части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения. Предписано подать в уполномоченный орган по защите прав субъектов персональных данных «Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных». Установлено нарушение части 3 статьи 6 названного закона – поручение иному лицу (ООО «ЕРЦ «Прогресс») осуществлять обработку персональных данных без согласия субъекта персональных данных, предписано взять с гр. ФИО1 письменное согласие на передачу его персональных данных в ООО «ЕРЦ «Прогресс».

Контролирующим органом обществу предписано устранить нарушения не позднее 22.07.2013, о чем сообщить с приложением подтверждающих документов.

Не согласившись с данным предписанием, заявитель обратился в арбитражный суд с настоящими требованиями.

Исследовав обстоятельства дела и оценив представленные в дело доказательства в их совокупности и взаимосвязи, в соответствии со статьями 65, 71 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд приходит к следующим выводам.

В соответствии с частью 1 статьи 198, частью 4 статьи 200, частями 2, 3 статьи 201 Арбитражного процессуального кодекса Российской Федерации для признания незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц необходимо наличие в совокупности двух условий: несоответствие оспариваемых решений и действий (бездействия) закону или иному нормативному правовому акту и нарушение прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности. Обязанность доказать соответствие обжалуемых ненормативного правового акта, решения, действий (бездействия) закону лежит на принявшим их государственном органе, органе местного самоуправления, ином органе, должностном лице.

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным, регулируется Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".

В силу статьи 2 названного закона целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Согласно статье 3 Закона №152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно части 1 статьи 23 Закона № 152-ФЗ уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), утвержденным Постановлением Правительства РФ от 16.03.2009 N 228, Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных, осуществляет свою деятельность непосредственно и через свои территориальные органы (пункты 1, 4 Положения).

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций с целью реализации полномочий в установленной сфере ведения имеет право в порядке и случаях, которые установлены законодательством Российской Федерации, применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений (пункт 6.5 Положения).

Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 N 312 утвержден Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Данный Регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в рамках проведения проверок при осуществлении государственной функции.

Согласно пунктам 6,10 – 11, 28-32 Регламента Управление проводит проверки деятельности операторов на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных, которые могут носить как плановый, так и внеплановый характер, в форме документарной или выездной проверки. Внеплановые проверки проводятся, в том числе, в связи с поступлением в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах: нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных, нарушение операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

В соответствии с пунктами 76,85,86 Административного регламента проверка службы и ее территориального органа завершается составлением и вручением оператору акта проверки; выдачей оператору предписаний об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных.

С учётом изложенного, оспариваемое предписание от 22.04.2013 № П-45-03/002 по результатам проверки ОАО «ЭК «Восток» (акт N А-45-03/020 от 22.04.2013) вынесено уполномоченным органом в рамках его законных полномочий.

Согласно пункту 1 статьи 22 Закона №152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

В силу пункта 3 статьи 22 названного закона уведомление должно содержать следующие сведения: наименование (фамилия, имя, отчество), адрес оператора; цель обработки персональных данных; категории персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных; перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; дата начала обработки персональных данных; срок или условие прекращения обработки персональных данных; сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Из материалов дела следует, что ОАО «ЭК «Восток» в соответствии с видами деятельности, предусмотренными уставом общества, осуществляет на территории Курганской области деятельность по продаже электрической энергии гражданам и юридическим лицам в качестве гарантирующего поставщика.

ОАО «ЭК «Восток» является оператором, осуществляющим обработку персональных данных, включено в реестр операторов, осуществляющих обработку персональных данных, за №77-13-001076 на основании поданного в уполномоченный орган по защите персональных данных уведомления об обработке персональных данных от 29.12.2012.

Из акта проверки от 22.04.2013 и приложений к данному акту следует, что контролирующий орган, анализируя поданное в уполномоченный орган по защите персональных данных уведомление об обработке персональных данных от 29.12.2012 и персональные данные, указанные в Едином информационном листе на оплату коммунальных услуг и в платёжных документах, установил, что названное уведомление от 29.12.2012 содержит неполную и недостоверную информацию, оператором не указаны следующие обрабатываемые категории персональных данных: номер лицевого счёта, площадь помещения, сумма начисления и (или) задолженности, показания электрического счётчика, № электрического счётчика. Тем самым оператором допущено нарушение части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения.

Суд находит выводы Роскомнадзора обоснованными.

Как следует из представленных в материалы дела Единых информационных листов и платёжных квитанций, указанные документы содержат персональные данные абонента: фамилия, имя отчество, адрес места жительства, номер лицевого счёта, площадь помещения, сумма начисления и (или) задолженности, показания электрического счётчика, № электрического счётчика. Вместе с тем в уведомлении от 29.12.2012 указаны не все обрабатываемые категории персональных данных, в связи с чем контролирующий орган пришёл к обоснованному выводу о нарушении заявителем части 3 статьи 22 Закона №152-ФЗ.

Доводы заявителя о том, что номер лицевого счёта, площадь помещения, сумма начисления и (или) задолженности, показания электрического счётчика, № электрического счётчика не являются персональными данными, суд находит несостоятельными.

Единый информационный лист на оплату коммунальных услуг кроме указанных сведений содержит сведения, прямо относящиеся к субъекту персональных данных: фамилия, имя, отчество, адрес места жительства, что делает возможным определить принадлежность номера лицевого счёта, площади помещения, суммы начисления и (или) задолженности, показания электрического счётчика, № электрического счётчика конкретному субъекту персональных данных. Соответственно эти сведения являются персональными данными.

Административным регламентом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных", утвержденного Приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 N 346, установлено, что документом для рассмотрения вопроса о внесении изменений в сведения об операторе в Реестре операторов является информационное письмо оператора, форма которого приведена в приложении №3 к данному регламенту.

Таким образом, требование оспариваемого предписания об устранении нарушения части 3 статьи 22 Закона №152-ФЗ путём подачи в уполномоченный орган по защите прав субъектов персональных данных информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных, является правомерным и исполнимым.

В силу части 1 статьи 6 Закона №152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.

Частью 1 статьи 9 данного Закона установлено, что субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Согласно части 3 статьи 6 Закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьёй 19 настоящего Федерального закона.

В соответствии со статьей 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Установлено, что между ОАО «ЭК «Восток» (принципал) и ООО «Единый Расчётный Центр «Прогресс» (агент) заключен агентский договор от 01.07.2007 №24/АД/07-07 в рамках которого ООО «ЕРЦ «Прогресс» обязалось от имени и за счёт ОАО «ЭК «Восток» осуществлять действия по приёму денежных средств в счёт оплаты по договорам энергоснабжения. В соответствии с данным договором принципал поручает агенту оформление информационных листов на оплату коммунальных услуг (счетов на оплату) и приём платежей, в которых содержатся персональные данные граждан: фамилия, имя, отчество, адрес места жительства, номер лицевого счёта, площадь помещения, сумма начисления и (или) задолженности, показания электрического счётчика, № электрического счётчика.

При этом в нарушение части 3 статьи 6 Закона №152-ФЗ передача персональных данных третьему лицу - ООО «ЕРЦ «Прогресс» осуществляется без согласия субъектов персональных данных. Таким образом, оспариваемое предписание и в этой части является законным.

Доводы заявителя со ссылкой на пункты 5 и 7 части 1 статьи 6 Закона №152-ФЗ о том, что в целях исполнения обязательств и реализации прав по договору, заключенному между оператором и субъектом персональных данных, оператору не требуется получать от субъекта персональных данных согласия на обработку персональных данных, поскольку в данном случае право на обработку персональных данных предоставлено оператору в силу прямого указания закона, а не в силу получения согласия со стороны субъекта персональных данных, являются необоснованными исходя из следующего.

В силу названной нормы обработка персональных данных допускается, в том числе, в случае если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пункт 5 части 1 статьи 6 Закона); в случае если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

В данном случае данные о гражданах переданы заявителем ООО «ЕРЦ «Прогресс» в целях исполнения агентского договора, заключенного между ОАО «ЭК «Восток» и ООО «ЕРЦ «Прогресс», а не в целях исполнения договора энергоснабжения, заключаемого с гражданами. Агентским договором согласованы действия между заявителем и ООО «ЕРЦ «Прогресс», граждане, в конкретном случае ФИО1, не является стороной договора. Соответственно в данном случае необходимо согласие граждан на обработку их персональных данных.

При указанных обстоятельствах суд приходит к выводу о том, что оспариваемое предписание является законным, выдано уполномоченным органом в пределах установленной компетенции, надлежащему лицу.

В связи с вышеуказанным, доводы заявителя, изложенные в заявлении и приведенные в судебном заседании, подлежат отклонению. Учитывая указанные обстоятельства, заявление удовлетворению не подлежит.

Судебные расходы распределены в соответствии со статьей 110 Арбитражного процессуального кодекса Российской Федерации и отнесены на заявителя.

Руководствуясь статьями 167-170, 197-201 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

решил:

В удовлетворении заявления отказать.

Решение может быть обжаловано в порядке апелляционного производства в Восемнадцатый арбитражный апелляционный суд в течение месяца со дня его принятия (изготовления его в полном объеме).

Апелляционная жалоба подаётся через Арбитражный суд Курганской области.

Судья

Л.П. Шестакова