Гражданский кодекс часть 1

УСТАНОВИЛ: АО «НБКИ» обратилось в Арбитражный суд города Москвы с заявлением о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016.

Заявитель требования поддержал по основаниям, изложенным в заявлении и письменных дополнениях к нему.

Ответчик требования отклонил по доводам, изложенным в представленном отзыве и письменных объяснениях.

Рассмотрев материалы дела, выслушав доводы представителей сторон, оценив относимость, допустимость, достоверность каждого доказательства в отдельности, а также достаточность и взаимную связь доказательств в их совокупности на основании ст.71 АПК РФ, арбитражный суд установил, что требования заявлены не обоснованно и не подлежат удовлетворению по следующим основаниям.

В соответствии с ч.4 ст.198 АПК РФ заявление может быть подано в арбитражный суд в течение трех месяцев со дня, когда гражданину, организации стало известно о нарушении их прав и законных интересов, если иное не установлено федеральным законом. Пропущенный по уважительной причине срок подачи заявления может быть восстановлен судом.

Срок подачи заявления об оспаривании предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016 заявителем не пропущен.

Согласно ст.198 АПК РФ организации вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.

Таким образом, процессуальный закон устанавливает наличие одновременно двух обстоятельств, а именно, не соответствие оспариваемого акта закону или иному нормативному правовому акту и нарушение оспариваемым актом прав и законных интересов организаций в сфере предпринимательской и иной экономической деятельности, для признания недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц.

Из материалов дела следует, что в период с «01» августа 2016 г. по «26» августа 2016 г., на основании приказа руководителя Управления Роскомнадзора по Центральному федеральному округу №524-нд от 27.07.2016, проведена плановая выездная проверка АО «НБКИ» в части соответствия деятельности по обработке персональных данных требованиям законодательства Российской Федерации в области персональных данных.

По результатам проверки составлен акт проверки № А-77/07/524-нд/503 от 26.08.2016, приложениями к которому являются Предписание об устранении выявленного нарушения № П-77/07/524-нд/1/230 от 26.08.2016 и Справка о результатах плановой выездной проверки АО «НБКИ».

Посчитав предписание № П-77/07/524-нд/1/230 от 26.08.2016 в части необходимости включения в уведомление уполномоченного органа данных физических лиц (клиентов либо потенциальных клиентов финансовой организации) из открытых источников информации, передаваемых финансовой организации, полученных с использованием сервиса Double Data Social Link - web-ссылка, результат поиска о клиенте либо потенциальном клиенте, и сервиса Double Data Social Attributes -обработка профиля искомого физического лица в открытых источниках информации (пункт 1), а также в части указания на нарушение требований п.1 ч.1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в виде отсутствия согласия на обработку содержащихся в открытых источниках (социальных сетях: ВКонтакте, Одноклассними, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональных данных клиента либо потенциального клиента финансовой организации, в рамках оказания услуги на основании сервиса «BIG DATA» (пункт 4) незаконным и нарушающим права и законные интересы общества в сфере предпринимательской и иной экономической деятельности, последнее обратилось с настоящим заявлением в арбитражный суд.

Согласно п.4 ст.200 АПК РФ при рассмотрении дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта или его отдельных положений, оспариваемых решений и действий (бездействия) и устанавливает их соответствие закону или иному нормативному правовому акту, устанавливает наличие полномочий у органа или лица, которые приняли оспариваемый акт, решение или совершили оспариваемые действия (бездействие), а также устанавливает, нарушают ли оспариваемый акт, решение и действия (бездействие) права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности.

При этом согласно п.5 ст.200 АПК РФ с учетом п.1 ст.65 АПК РФ обязанность доказывания соответствия оспариваемого ненормативного правового акта закону или иному нормативному правовому акту, законности принятия оспариваемого решения, совершения оспариваемых действий (бездействия), наличия у органа или лица надлежащих полномочий на принятие оспариваемого акта, решения, совершение оспариваемых действий (бездействия), а также обстоятельств, послуживших основанием для принятия оспариваемого акта, решения, совершения оспариваемых действий (бездействия), возлагается на орган или лицо, которые приняли акт, решение или совершили действия (бездействие).

Согласно п.1 Постановления Пленума ВС РФ от 01.07.1996 № 6 и Пленума ВАС РФ № 8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» если суд установит, что оспариваемый акт не соответствует закону или иным правовым актам и ограничивает гражданские права и охраняемые законом интересы юридического лица, то в соответствии со ст.ст.12 и 13 Гражданского кодекса РФ он может признать такой акт незаконным.

С учетом заявленных требований и доказательств, имеющихся в материалах дела, суд считает необходимым указать следующее.

Согласно ст. 1 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" (Далее - Закон) его сфера регулирования, связанна с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Статья 2 Закона, устанавливает, что целью указанного Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Согласно ст.5 Закона обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (часть 2); обработке подлежат только персональные данные, которые отвечают целям их обработки (часть 4); содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (часть 5);

В статье 3 Закона указано, что в целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Условия обработки персональных данных содержаться в ст. 6 Закона, согласно которой, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Применительно к настоящему делу, следует отметить, что обработка персональных данных допускается в частности в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1);

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных) (п. 10 ч. 1);

Таким образом, говоря о персональных данных, сделанных субъектом персональных данных общедоступными, необходимы два условия:

1. персональные данные доступны неопределенному кругу лиц

2. персональные данные предоставлены непосредственно самим субъектом.

Без письменного согласия субъекта персональных данных не представляется возможным утверждать, что они предоставлены именно указанным субъектом.

Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных.

Для этих целей, статьей 8 Закона введено определение Общедоступных источников персональных данных, согласно которой, в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

С учетом изложенного, суд приходит к выводу, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению ст.8 Закона.

Следует также отметить, что информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных (ст. 7 Федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации").

Таким образом, персональные данные, обрабатываемые АО «НБКИ» в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем в действиях заявителя усматриваются нарушения ч.3 ст.22 и п.1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных".

При таких обстоятельствах, пункты 1 и 4 предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016 являются законными и не нарушают права и законные интересы заявителя в сфере предпринимательской деятельности.

Следовательно, в данном случае, отсутствуют основания, предусмотренные ст.13 ГК РФ, которые одновременно необходимы для удовлетворения заявленных требований.

В соответствии со ст.201 АПК РФ арбитражный суд установив, что оспариваемый ненормативный правовой акт, решения и действия (бездействие) государственных органов, органов местного самоуправления, иных органов, должностных лиц соответствуют закону или иному нормативному правовому акту и не нарушают права и законные интересы заявителя, суд принимает решение об отказе в удовлетворении заявленного требования.

На основании изложенного и руководствуясь ст.ст.64-68, 71, 75, 81, 167-170, 176, 180, 181, 197-201АПК РФ, суд

РЕШИЛ:

Проверив на соответствие Федеральному закону от 27.07.2006 №152-ФЗ "О персональных данных", Федеральному закону от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации" в удовлетворении заявления АО «НБКИ» о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016 отказать в полном объеме.

Решение может быть обжаловано в месячный срок после его принятия в Девятый арбитражный апелляционный суд.

Судья Г.Н. Папелишвили