Гражданский кодекс часть 1

рассмотрев в открытом судебном заседании, состоявшемся 10 августа 2009 года, дело № А46-14436/2009, возбужденное по заявлению открытого акционерного общества «Мобильные ТелеСистемы» к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области о признании предписания от 14.04.2009 № 01-22/0020 недействительным,

при участии в судебном заседании:

представительниц заявителя - открытого акционерного общества «Мобильные ТелеСистемы» - Хаустовой Натальи Ромуальдовны (доверенность от 01.10.2008 за № 1203/08, сроком действия 1 год, паспорт), Береза Яны Юрьевны (доверенность от 01.10.2008 за № 1204/08, сроком действия 1 год, паспорт);

представителей заинтересованного лица - Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области – Усовой Татьяны Лукьяновны (доверенность от 21.07.2009 за № 01-12/0943, сроком действия 1 год, удостоверение № 1976, выданное 17.03.2008), Кравченко Александра Ивановича (доверенность от 21.07.2009 за № 01-12/0944, сроком действия 1 год, паспорт),

у с т а н о в и л :

открытое акционерное общество «Мобильные ТелеСистемы» (далее по тексту – ОАО «МТС», заявитель, общество) обратилось в Арбитражный суд Омской области с заявлением к Управлению Федеральной службы по надзору в сфере связи и массовых коммуникаций по Омской области (ниже по тексту – Управление Россвязьнадзора по Омской области, заинтересованное лицо, уполномоченный орган) о признании предписания от 14.04.2009 № 01-22/0020 недействительным.

До разрешения спора по существу судом по ходатайству заинтересованного лица в связи с его переименованием с Управления Россвязьнадзора по Омской области на Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области (далее – Управление Роскомнадзора по Омской области), произведённым на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22 мая 2009 № 87, что нашло отражение в Едином государственном реестре юридических лиц (свидетельство серии 55 № 003247947 о внесении 16.06.2009 записи за государственным регистрационным номером 2095543312600 в Единый государственный реестр юридических лиц), наименование уполномоченного органа уточнено.

В судебном заседании представительницы ОАО «МТС» требование доверителя поддержали по основаниям, изложенным в заявлении, дополнениях у нему и возражениях на отзыв; представители Управления Роскомнадзора по Омской области его не признали по мотивам, приведённым в отзыве на заявление и отзыве на дополнение к нему.

Рассмотрев материалы дела, заслушав объяснения представителей лиц, участвующих в деле, суд установил, что приказом руководителя Управления Россвязьнадзора по Омской области Концевого В.Б. от 24.03.2009 за № 0-06/148 в отношении ОАО «МТС» назначена плановая проверка соблюдения обществом обязательных требований и условий, относящихся к использованию радиоэлектронных средств, обработке персональных данных согласно утверждённой 26.03.2009 программе, доведённой до сведения заявителя письмом от 27.03.2009 за № 03-10/0401.

10.04.2009 по итогам проверки уполномоченным органом составлен акт (регистрационный номер 2/03-14), в котором Управление Россвязьнадзора по Омской области отразило, что в результате осуществленной проверки выявлены:

1) нарушение пункта 6 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 (далее - Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных), пункта 2 порядка проведения классификации информационных систем персональных данных, утверждённого совместным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 года № 55/86/20 (далее - Порядок проведения классификации информационных систем персональных данных), в виду невыполнения мероприятий по классификации информационных систем передача данных при их обработке;

2) нарушение подпункта «б» пункта 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в связи с отсутствием разработанной на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

3) нарушение пункта шестого части 4 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ от 27 июля 2006 года № 149-ФЗ), подпункта «д» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, обусловленное отсутствием постоянного контроля за обеспечением уровня защищенности персональных данных и документального подтверждения его результатов;

4) нарушение части 4 статьи 21 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – ФЗ от 27 июля 2006 года № 152-ФЗ), выразившееся в несвоевременном уничтожении персональных данных абонентов, с которыми отношения, связанные с предоставлением услуг связи, прекращены.

На основании данного акта 14.04.2009 со ссылкой на пункт 3 статьи 9 Федерального закона от 8 августа 2001 года № 134-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» (далее – ФЗ от 8 августа 2001 года № 134-ФЗ) Управлением Россвязьнадзора по Омской области обществу выдано предписание за № 01-22/0020 об устранении нарушений, указанных в акте от 10.04.2009 за 2/03-14, не позднее 3-х месяцев, следующих за днём его (предписания) получения.

ОАО «МТС», не согласившись с этим предписанием уполномоченного органа, обжаловало его, указав в обоснование заявленного требования на то, что установление оспоренным ненормативным правовым актом в части устранения первых двух из перечисленных выше нарушений срока его исполнения, предшествующего 01.01.2010, противоречит статье 26 ФЗ от 27 июля 2006 года № 152-ФЗ, устанавливающей для выполнения требований по защите персональных данных в информационных системах персональных данных, эксплуатируемых на момент введения этого Федерального закона в действие, именно такой срок. До наступления обозначенного срока уполномоченный орган вправе проводить проверки по вопросам защиты персональных данных, но в случае невозможности предъявления письменных доказательств их соблюдения, не правомочен относить их отсутствие к нарушению законодательства, регулирующего сферу обращения персональных данных. Обществом приняты достаточные на данный момент меры к защите персональных данных при автоматизированной обработке в информационных системах персональных данных: согласно стандарту «Требования к организации физической охраны на объектах ОАО «МТС» СТ-053-3 при наличии охранной сигнализации действует автоматический пропускной режим, предполагающий возможным доступ на объекты общества по единственному документу - постоянному индивидуальному пропуску; в силу политики «Организация работы с персональными данными работников ОАО «МТС» ПТ-081-2 хранение личных дел и документов, содержащих персональные данные работников, осуществляется в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа; персональные компьютеры защищены паролями доступа, а личный файл работника создаётся отдельной записью в модуле «учёт кадров», программное обеспечение которого сертифицировано и исключает доступ иных лиц; в соответствии с политикой «Информационная безопасность при использовании ресурсов корпоративной информационной системы» ПТ-021-2 для воспрепятствования несанкционированного доступа к ресурсам корпоративной информационной системы используются пароли и (или) аппаратные средства аутентификации, не позволяющие без получения разрешения на работу в корпоративной информационной системе войти в неё, передача пароля и использование персонального компьютера для связи с внешними сетями, подключения внешних носителей – запрещены, при оставлении рабочего времени работнику вменено в обязанность заблокировать доступ к персональному компьютеру, при невыполнении этого спустя 5 мин. блокирование производится в автоматически; для работы применяется лицензионное программное обеспечение «Майкрософт», а при обработке данных абонентов – сертифицированная автоматизированная система расчётов «TelBill», состоящая из системы управления базами данных, для защиты также используются антивирусное программное обеспечение, создающее помехи повреждению и уничтожению персональных данных, программное обеспечение IBMLotusNOTES, препятствующее подмене, модификации и прочтению сообщений, направляемых и получаемых по электронной почте; контроль за обеспечением уровня защищённости персональных данных регламентирован и регламентом процесса-125-1 «Выявление уязвимости сетей, ОС, БД, приложений» РП-125-1, стандартом «Механизмы обеспечения ИТ-Безопасности» СТ-022-1, стандартом «Информационная безопасность. Термины и определения» СТ-050-1, политикой «Политика ИТ-Безопасности» ПТ-012-2.

В части третьего нарушения заявитель отметил, что им приняты и выполняются политики ПТ 021-2 «Информационная безопасность при использовании ресурсов корпоративной информационной системы», утверждённая распоряжением президента ОАО «МТС» от 30.20.2006 № 05/099-р, ПТ-081-2 «Организация работы с персональными данными работников ОАО «МТС», утверждённая приказом президента ОАО «МТС» от 11.12.2008 № 01/0477П, ПТ-002-2 «О режиме безопасности информации (конфиденциальности) ОАО «МТС», утверждённая приказом президента ОАО «МТС» от 14.09.2006 № 01/0595П, стандарт «Требования к организации физической охраны на объектах ОАО «МТС» СТ-053-3, утверждённый приказом президента ОАО «МТС» от 16.01.2008 № 01/0008П, направленные на постоянный контроль за обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных, однако, Управление Россвязьнадзора по Омской области не мотивировано, по мнению общества, не придало значения этим мерам, представляющимся ему достаточными для вывода о соблюдении положений пункта шестого части 4 статьи 16 ФЗ от 27 июля 2006 года № 149-ФЗ, подпункта «д» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

При проведении проверки ОАО «МТС» уполномоченному органу были предоставлены: приказ президента ОАО «МТС» от 28.05.2008 № 010194П о введение в действие политики ПТ-030-3 «Организация текущего и архивного хранения документов ОАО «МТС», приказ филиала ОАО «МТС» в Омской области от 04.12.2008 № С08-02/0304П «Об утверждении сводной номенклатуры дел филиала ОАО «МТС» в Омской области на 2009 год», акт от 01.04.2009 за № 06 о выделении к уничтожению документов, неподлежащих дальнейшему хранению, накладная от 02.04.2009 за № 1103 о приёме документов для уничтожения, протокол заседания экспертной комиссии по хранению и уничтожению документов от 16.03.2009 № С01/0019ПС, из которых не следует, что уничтожение документов производится обществом несвоевременно. Порядок исчисления срока их уничтожения не изложен ни в акте проверки от 10.04.2009 № 2/03-14, ни в предписании от 14.04.2009 № 01-22/0020. По накладной от 02.04.2009 за № 1103 о приёме документов для уничтожения утилизированы все сформированные для этого документы. Количество документов в ней названо в килограммах, поскольку они передавались на уничтожение, производство которого подтверждается соответствующей записью, внесённой в накладную, как макулатура. Какого-либо иного предусмотренного законом или иным законодательным актом порядка уничтожения не установлено, специальных требований к такой процедуре не предъявляется. Эти обстоятельства лишают состоятельности вывод заинтересованного лица о допущении заявителем нарушения четвертого.

Управление Роскомнадзора по Омской области, возражая доводам ОАО «МТС», сочло обжалованное предписание применительно к первым двум нарушения не противоречащим статье 26 ФЗ от 27 июля 2006 года № 152-ФЗ, полагая, что срок, установленный в ней, относится к техническим, но не к организационным, мероприятиям, направленным на приведение информационных систем персональных данных, созданных до его введения в действие, в соответствие с ним. Информационная система персональных данных при этом не изменяется.

Нарушение пункта шестого части 4 статьи 16 ФЗ от 27 июля 2006 года № 149-ФЗ, подпункта «д» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных не опровергается наличием принятых обществом внутрикорпоративных стандартов обеспечения безопасности информации; для вывода о том, что названные положения обозначенных законодательных актов соблюдены, необходимо подтверждение их выполнения. При проведении проверки заявителю предлагалось предоставить такие документы, от чего он воздержался.

В пункте 7 акта от 01.04.2009 о выделении к уничтожению документов, не подлежащих дальнейшему хранению, ОАО «МТС» обозначены 20649 договоров по лицевым счетам абонентов за 1998-2003 годы. Приказом филиала ОАО «МТС» в Омской области от 04.12.2008 № С08-02/0304П «Об утверждении сводной номенклатуры дел филиала ОАО «МТС» в Омской области на 2009 год» срок хранения таких документов равен 5 годам. В этой связи сроком достижения цели обработки персональных данных можно считать истечение 3-х дней по окончании 5-ти летнего периода. Акт от 01.04.2009 о выделении к уничтожению документов, неподлежащих дальнейшему хранению не согласуется с накладной от 02.04.2009 № 1103 о приёме документов для уничтожения, исходя из которой уничтожено не 20649 документов, а только 2000 документов, содержание которых определить из этой накладной не представляется возможным. Акт уничтожения документов не предъявлен. С учётом этих обстоятельств, требование от ОАО «МТС» в целях устранения четвертого из выявленных нарушений уничтожить персональные данные абонентов в базах данных и на других носителях информации за 1998-2003 годы в полном объёме и в дальнейшем организовывать свою деятельность с соблюдением предписания, установленного частью 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ, правомерно.

Исследовав и оценив в совокупности и взаимной связи доказательства, представленные участниками процесса, доводы, предложенные ими, суд удовлетворяет требование ОАО «МТС», основываясь на следующих суждениях и толковании законоположений, подлежащих применению.

Частью 1 статьи 65, частью 5 статьи 200 Арбитражного процессуального кодекса Российской Федерации (АПК РФ) закреплено общее правило распределения бремени доказывания по спорам, рассматриваемым с особенностями, предусмотренными главой 24 АПК РФ. В силу этих норм арбитражного процессуального законодательства обязанность доказывания соответствия оспариваемого ненормативного правового акта закону или иному нормативному правовому акту, а также обстоятельств, послуживших основанием для принятия оспариваемого акта, возлагается на орган или лицо, которые приняли акт, решение или совершили действия (бездействие).

В силу пункта 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.

Пунктом 2 Порядка проведения классификации информационных систем персональных данных установлено, что классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор).

Пункт 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных определяет содержание мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах, причисляя к ним: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных.

И Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и Порядок проведения классификации информационных систем персональных данных, исходя из постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 и совместного приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 года № 55/86/20, приняты во исполнение статьи 19 ФЗ от 27 июля 2006 года № 152-ФЗ.

ФЗ от 27 июля 2006 года № 152-ФЗ согласно части 1 статьи 25 вступил в силу с 26 января 2007 года. Обработка данных, включённых в информационные системы персональных данных до дня его вступления в силу, должна осуществляться в соответствии с ним (часть 2 статьи 25), а информационные системы персональных данных, созданные до дня вступления в его силу, должны быть приведены в соответствие с ним не позднее 1 января 2010 года (часть 3 статьи 25 ФЗ от 27 июля 2006 года № 152-ФЗ).

Из приведённого судом видно, что законодатель, определяя порядок применения требований ФЗ от 27 июля 2006 года № 152-ФЗ, разграничил их выполнение оператором в части, относящейся к обработке персональных данных, понимая под ней действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (пункт 3 статьи 3 ФЗ от 27 июля 2006 года № 152-ФЗ), и в части, относящейся к информационным системам персональных данных, то есть информационным системам, представляющим собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Различие в самих понятиях обработки персональных данных и информационной системы персональных данных требует отыскания и разделения между собой законоположений ФЗ от 27 июля 2006 года № 152-ФЗ и принятых в его исполнение обозначенных выше подзаконных актов, не должных противоречить им, регламентирующих ту или иную сферу их регулирования. Только при уяснении этого возможно с достоверностью утверждать о наличии или отсутствии в действиях (бездействии) оператора нарушений ФЗ от 27 июля 2006 года № 152-ФЗ и пунктов 6, 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, пункта 2 Порядка проведения классификации информационных систем персональных данных и, как следствие, присутствии оснований для выдачи предписания об устранении таковых. Только если прийти к выводу о том, что мероприятия по классификации информационной системы передачи данных при их обработке и разработке модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем, есть составная часть обработки персональных данных, но не этап создания информационной системы персональных данных, могут быть усмотрены законные основания для вменения исполнения пунктов 6, 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и пункта 2 Порядка проведения классификации информационных систем персональных данных в обязанность оператору до истечения срока, установленного частью 3 статьи 25 ФЗ от 27 июля 2006 года № 152-ФЗ, если, информационная система персональных данных, создана им (этому условию отвечает рассматриваемый случай, что не опровергается ни одним из участников процесса) до дня вступления в силу ФЗ от 27 июля 2006 года № 152-ФЗ, то есть до 26 января 2007 года.

Статья 19 ФЗ от 27 июля 2006 года № 152-ФЗ структурно включена в главу 4 «Обязанности оператора» и озаглавлена как «Меры по обеспечению безопасности данных при их обработке». Несмотря на безусловную связь информационных систем персональных данных с обработкой персональных данных, предполагающей совершение в большей степени технических действий с персональными данными как составной частью информационной системы персональных данных, нет оснований для утверждения о том, что меры по обеспечению безопасности данных при их обработке, в том числе такие, как классификация информационной системы передачи данных при их обработке и разработка модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем, не относятся к требованиям, касающимся информационной системы персональных данных, а к требованиям непосредственно обработки персональных данных. Этот вывод следует из самого содержания таких мероприятий как классификация информационной системы передачи данных при их обработке и разработка модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем. Эти меры носят общий характер и не могут быть приняты только при обработке данных, включённых в информационные системы персональных данных до дня вступления в силу ФЗ от 27 июля 2006 года № 152-ФЗ. Более того, как было отмечено ранее, статья 19 ФЗ от 27 июля 2006 года № 152-ФЗ, пункты 6 и 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных относят классификацию информационной системы передачи данных при их обработке и разработку модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем к мероприятиям по обеспечению безопасности персональных данных при их обработке в информационных системах, а пункт 4 этого Положения прямо указывает на то, что работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. Содержание Порядка проведения классификации информационных систем персональных данных также с очевидностью позволяет считать, что рассматриваемые меры, непринятие которых усмотрено Управлением Роскомнадзора по Омской области в деятельности ОАО «МТС» как оператора, имеют непосредственное отношение к информационной системе персональных данных.

Таким образом, и буквальное, и системное толкование названных актов законодательства о персональных данных позволяет утверждать, что требования ФЗ от 27 июля 2006 года № 152-ФЗ, Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных и Порядка проведения классификации информационных систем персональных данных в части обязывающей любого оператора, эксплуатирующего информационную систему персональных данных, созданную до 26.01.2007, классифицировать информационную систему передачи данных при их обработке и разработать модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, как верно замечает общество, нельзя признать предписаниями, к исполнению которых оператор может быть понуждён уполномоченным в этой сфере органом в срок ранее 1 января 2010 года, то есть ранее, чем такой срок предусмотрен для этого частью 3 статьи 25 ФЗ от 27 июля 2006 года № 152-ФЗ. Установление Управлением Россвязьнадзора по Омской области предписанием от 14.04.2009 № 01-22/0020 в этой связи для ОАО «МТС» иного (сокращённого) срока проведения им таких работ, связанных с приведением используемой им информационной системы персональных данных в соответствие с ФЗ от 27 июля 2006 года № 152-ФЗ, нельзя признать законным и не нарушающим права и законные интересы заявителя, вынужденного в силу властного характера такого ненормативного правового акта как предписание для его исполнения и исключения возможности привлечения к административной ответственности в случае воздержания от его исполнения, проводить мероприятия, для выполнения которых пресекательный дозволительный срок согласно части 3 статьи 25 ФЗ от 27 июля 2006 года № 152-ФЗ не истёк, но наступит через полгода по минованию срока, отведённого обжалованным предписанием. До истечения срока, установленного частью 3 статьи 25 ФЗ от 27 июля 2006 года № 152-ФЗ, нет оснований и для заключения о том, что обществом допущено какое-либо нарушение, что исключает наличие оснований для выдачи предписания не только с таким сроком его исполнения, но и выдачи его вовсе.

Довод заинтересованного лица, состоящий в том, что срок, предусмотренный частью 3 статьи 25 ФЗ от 27 июля 2006 года № 152-ФЗ, имеет отношение к техническим мероприятиям, связанным с приведением применяемой оператором информационной системы персональных данных с соответствие с ним, а именно к оснащению сертифицированными техническими средствами, обеспечивающими безопасность персональных данных при их обработке, суд отклоняет за его ошибочностью, вследствие ограничительного толкования этой правовой нормы и отсутствии объективных в связи с этим предпосылок разделения мероприятий по приведению информационной системы персональных данных в соответствие с требованиями ФЗ от 27 июля 2006 года № 152-ФЗ на так называемые организационного и технического характера. Имеющим правовое значение, по мнению суда, надлежит признать и то, что осуществление таких мероприятий применительно к ОАО «МТС» не ограничивается только Омским филиалом, проверка которого была произведена заинтересованным лицом. Классификация информационной системы персональных данных и разработка моделей угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, находятся в прямой зависимости, в том числе от объёма обрабатываемых данных в информационной системе персональных данных всего общества, но не лишь Омского филиала. Этот показатель также как и категории обрабатываемых в информационной системе персональных данных с течением времени может меняться, что, соответственно, предполагает менее или более существенное изменение как в отнесении информационной системы к тому или иному классу, оценке и построении моделей угроз ей (информационно системы) защиты, что, в свою очередь, требует анализа этого оператором и учёта его результатов при выполнении работ по обеспечению безопасности персональных данных таким образом, чтобы их результат оставался неизменным как можно более продолжительное время, классификация информационной системы персональных данным, разработанные модели угроз её защиты, организационные и технические мероприятия, направленные на предотвращения несанкционированного доступа к персональным данным, сохраняли свою актуальность, не требовали их переработки и переоснащения. Именно в виду этих причин (сложности процесса, необходимости достижения баланса интересов операторов, субъектов персональных данных и государства при разрешении существенного для жизнедеятельности общества вопроса о безопасности персональных данных) законодателем и был предусмотрен значительный по продолжительности срок для исполнения требований ФЗ от 27 июля 2006 года № 152-ФЗ и принятых на его основании подзаконных актов (в частности, Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, Порядок проведения классификации информационных систем персональных данных), относящихся к информационной системе персональных данных. Установление такого срока право федерального законодателя, обязанность же оператора - соблюсти его, но сроки выполнения работ, необходимых для приведения информационной системы персональных данных, имеющейся у него, в соответствии с ними, определяются им по собственному усмотрению с тем расчётом, что они обеспечат достижение задач законодательства о персональных данных не позднее 1 января 2010 года.

Ссылки уполномоченного органа на то, что только выдача предписания на устранение нарушений законодательства о персональных данных даёт основание для внеплановой проверки оператора и при его отсутствии плановая проверка допустима лишь по прошествии 3-х лет, в течение которого он лишён права на проверку того проведены ли по истечении 1 января 2010 года необходимые мероприятия, проверка ОАО «МТС» была произведена в срок, утвержденный программой, и срок предписания по её итогам не может превышать три месяца, суд также не может принять во внимание, поскольку эти обстоятельства не относятся к области права и не являются теми фактическими обстоятельствами, которые могут и должны оказывать влияние на вывод о соответствии или несоответствии оспоренного предписания приведённым в нём актам законодательства о персональных данных.

Довод заинтересованного лица о том, что ФЗ от 27 июля 2006 года № 152-ФЗ для Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных не установлен иной срок введения его в действие и этот нормативный правовой акт подлежит исполнению правомерен, но не является подтверждением правильности позиции уполномоченного органа. Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных в рассматриваемой части вправе руководствоваться операторы информационных систем персональных данных, созданных до введения в действие ФЗ от 27 июля 2006 года № 152-ФЗ, но им не может быть изменён срок, данный для приведения их в соответствие с ФЗ от 27 июля 2006 года № 152-ФЗ его статьёй 26. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных для таких операторов раскрывает критерии построения созданных ими информационных систем персональных данных, которые отвечают тем, что определены ФЗ от 27 июля 2006 года № 152-ФЗ. Иными словами, конкретизируют его, потому и подлежат применению ими, но до 01.01.2010 без негативных в случае их несоблюдения применительно к этой части последствий.

При изложенном, суд не находит оснований для признания предписания Управления Россвязьнадзора по Омской области от 14.04.2009 за № 01-22/0020 по первым двум обозначенным в нём нарушениям законным и обоснованным.

Третье нарушение, на устранение которого направлено обжалованное предписание, как видно из него и акта проверки от 10.04.2009 за № 2/03-14, следствием которого оно и явилось, мотивировано уполномоченным органом тем, что в обществе, вопреки пункту шестому части 4 статьи 16 ФЗ от 27 июля 2006 года № 149-ФЗ и подпункту «д» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, отсутствует постоянный контроль за обеспечением уровня защищенности персональных данных и документальное подтверждение его результатов.

Пункт шестой части 4 статьи 16 ФЗ от 27 июля 2006 года № 149-ФЗ и подпункт «д» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, имея схожие положения, действительно, относят к обязанностям оператора обеспечение постоянного контроля за уровнем защищенности информации.

Между тем, термин «постоянный контроль» не раскрыт законодателем и употреблён в части 4 статьи ФЗ от 27 июля 2006 года № 149-ФЗ наряду с иными обязанностями оператора, такими как: обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней.

Под контролем надлежит понимать составную часть управления объектами и процессами, заключающуюся в наблюдении за объектом с целью проверки соответствия наблюдаемого состояния объекта желаемому и необходимому состоянию, предусмотренному законами, положениями, инструкциями, другими нормативными актами, а также программами, планами, договорами, проектами и соглашениями.

В этой связи наблюдаемый объект есть защищённость персональных данных и иной информации конфиденциального характера, а желаемое и необходимое её состояние исходя, в том числе из статей 9, 16 ФЗ от 27 июля 2006 года № 149-ФЗ, части 1 статьи 7, статьи 19 ФЗ от 27 июля 2006 года № 152-ФЗ, то есть то, которое обеспечивает надлежащее противодействие неправомерному или случайному доступу, уничтожению, изменению, блокированию, копированию, распространению, а также совершению иных незаконных посягательств на персональные данные и другую информацию конфиденциального характера.

Уровень защищённости зависит от достаточности принятых оператором информационной системы различных организационных и технических мероприятий. Последние различны по своей сути, заключаются и в непосредственной физической защите объектов, где или в которых (при помощи которых) хранится, обрабатывается, распространяется и уничтожается информация, подлежащая защите, как-то: пропускной режим, оборудование сигнализацией помещений, и в ином, в частности, в защите от различных угроз (вирусов, несанкционированного доступа) и персональных данных и другой информации как таковых, и программного обеспечения, используемого при этом, что достигается применением ряда технических средств и соответствующего поставленным задачам программного обеспечения. Надлежащая защищённость обеспечивается (опосредовано) и мерами общего характера как, например, система подбора кадров.

То есть, защищённость информационной системы, персональных данных и информации, обрабатываемых и хранящихся в ней, представляется комплексным понятием, проявляющимся в применяемых для её обеспечения мерах. При этом они (меры) содержат в себе и элементы контроля за уровнем защищенности – её достаточности или ущербности. Так, к примеру, если исследовать защищённость исходя из физической её составляющей, то использование пропускного режима позволяет установить в случае прохода на территорию (в здание) лиц, не имеющих право допуска на неё (в него), лиц, нарушивших пропускной режим, равно как и сотрудников, допустивших это нарушение, цели проникновения. Однако в устных выступлениях представителями Управления Роскомнадзора по Омской области даны пояснения, что предписание от 14.04.2009 № 01-22/0020 отношение к защищенности в этом аспекте не имеет, что позволяет исходя из приведённых выше рассуждений и формулировки исследуемого ненормативного правового акта заинтересованного лица, констатировать его (предписания) неопределённость, наличие каковой, во всяком случае, лишает его законности, поскольку, будучи, равно как и акт от 10.04.2009 за № 2/03-14, неконкретизированным (как в части выявленного нарушения, так и в части мер, которые должны быть приняты для его устранения), объективно препятствует, как верно замечено ОАО «МТС», уяснению им как лицом, которому оно выдано, его неабстрактного существа и порядка исполнения, в том числе для своевременного и должного принятия мер реагирования на него и исключения оснований для привлечения к административной ответственности. Обращение же к уполномоченному органу, выдавшему предписание, тем более, раскрытие этих обстоятельств и приведение суждений, обосновывающих выводы, последовавшие из них (за исключением доказательств обратного) лишь в ходе судебного разбирательства, не может подменять этого правила, учитывая, что, тем самым, дозволяется дополнение ненормативного правового акта, который при его принятии должен содержать все необходимые для оценки его на соответствие законодательству признаки. При ином следовало бы допустить, что ненормативный правовой акт органа государственной власти в любом случае является законным и обоснованным, если таковой имеет указание на дату его принятия, орган (должностное лицо), его выдавший, лицо, в отношении которого он вынесен и общие фразы, касающиеся как выявленного нарушения, так и мер, направленных на его устранение, что, очевидно, неправомерно. Вместе с тем, Управлением Россвязьнадзора по Омской области в предписании от 14.04.2009 № 01-22/0020 не обозначены те меры, которые, по мнению уполномоченного органа, не были приняты ОАО «МТС» для вывода о том, что постоянный контроль обществом за уровнем защищённости не организован («не налажен»), не названы меры, которые должны быть приняты заявителем для заключения об ином, не перечислены документы, служащие подтверждением наличия такого контроля, которые должны составляться и предъявляться оператором для доказывания этого обстоятельства, каким нормативным правовым актом они предусмотрены. При этом Управлением Роскомнадзора по Омской области не принято во внимание как то, что отсутствие «документального подтверждения» не означает отсутствие контроля (постоянного контроля) как вообще, так и за уровнем защищённости, в частности, доводы в обоснование чего приведены судом ниже, так и то, что поскольку порядок организации постоянного контроля за уровнем защищённости находится в пределах усмотрения оператора, для вывода об отсутствии постоянного контроля за уровнем защищенности персональных данных требовалось уяснения структуры в данном случае филиала ОАО «МТС» в Омской области, наличие в ней подразделений и должностных лиц, которые ответственны за его проведение, их должностных обязанностей и их выполнение ими.

Применительно к уровню защищённости в непосредственном информационном его значении, суд отмечает, что политики и стандарты, представленные заявителем, действительно, являются мерами общего (организационного) характера и не в полной мере позволяют утверждать при отсутствии доказательств их выполнения оператором о постоянном контроле им за уровнем защищённости. Вместе с этим, суд не усматривает и доказательств, подтверждающих то, что такой контроль заявителем не осуществляется. Между тем, программное обеспечение, установка и применение которого направлены на пресечение несанкционированного доступа к сведениям, находящимся в информационной системе, вне зависимости от целей таких действий, предполагает оповещение лица, использующего это программное обеспечение, об этом посредством составления соответствующих отчётов. Его использование, проверка лицом, ответственным за информационную безопасность, отчётов об отражённых проникновениях в информационную систему, закрытии программ, несущих потенциальную угрозу информации, хранящейся в ней, установление пароля на доступ в систему и тому подобное, как верно отмечено ОАО «МТС», также укладывается в понятие «постоянный контроль» за уровнем защищённости и не может быть оставлено без внимания. Однако этому заинтересованным лицом (иного суд не усматривает) при проведении проверки оценка не дана.

Приведённые обстоятельства и изложенные выводы, следующие их них, не позволяю суду согласиться с бездоказательной, вопреки части 1 статьи 65, части 5 статьи 200 АПК РФ, позицией Управления Роскомнадзора по Омской области о соответствии предписания от 14.04.2009 № 01-22/0020 исследованным нормам законодательства о персональных данных.

Признавая оспоренное предписание по четвертому из имеющихся в нём нарушений недействительным, суд также исходит из отсутствия доказательств, необходимых для достоверного вывода о нарушении ОАО «МТС» части 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ, и, как следствие, оснований для его выдачи в целях его устранения.

Согласно части 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

Понятие цели обработки персональных данных не дано законодателем; его содержание не раскрыто через признаки, присущие этому термину, что, по мнению суда, обусловлено различием в целях обработки персональных данных различными операторами (банковыми и кредитными учреждениями, страховыми компаниями, компаниями, предоставляющими услуги связи, государственными органами, органами местного самоуправления и т.д.), затрудняющим закрепление единой для любого оператора цели обработки персональных данных или с достаточной степенью определенного их круга, и допускает вывод о том, что момент достижения цели обработки персональных данных подлежит выявлению в каждом конкретном случае в зависимости от категории (существа) персональных данных, сферы деятельности, к которой они принадлежат. При этом не имеет значение то, с чем оператором в его локальных нормативных актах отождествлен момент достижения цели обработки: прекращением действия договора, заключённого с субъектом персональных данных в связи с истечением срока его действия или его расторжением по соглашению его сторон; истечением срока, избранного оператором для хранения такого договора, принимая во внимание то, что ни одно законоположение не обязывает оператора устанавливать момент, когда можно считать цель обработки достигнутой. Более того, суду представляется невозможным определить её, поскольку, как правильно, отмечено ОАО «МТС», даже с прекращением действия договора на предоставление услуг связи обработка персональных данных, внесённых в информационную систему персональных данных при его заключении, нельзя достоверно считать, что цель их обработки достигнута, учитывая вероятность возникновения споров относительно периода оказания услуг связи, их объёма и стоимости, что в любом случае предполагает обработку персональных данных и после прекращения действия договора.

В этой связи установление обществом приказом от 02.12.2008 № С 08-02/0304-п срока хранения дел с документами (договорами, заявками, анкетами, заявлениями и прочими), равного 5 годам, не означает, что по истечении этого периода цель обработки достигнута. Придерживаясь логики рассуждений заинтересованного лица, следовало бы признать, что с его точки зрения заявителем часть 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ была бы соблюдена, если этот срок был определён, например, в 10 или 15 лет. Предлагая этот вариант определения момента достижения цели обработки персональных данных, Управление Роскомнадзора по Омской области употребляет его с оборотом «можно считать», допуская тем самым отыскание иного обстоятельства, с которым можно связать достижение цели их обработки, однако, во-первых, применение к рассматриваемым правоотношениям срока, определённого обозначенным приказом, не представляется суду, исходя из изложенного выше, надлежаще аргументированным.

Во-вторых, оспоренное предписание, также как и акт проверки от 10.04.2009 № 2/03-14, позволяют заключить, что нарушение части 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ усмотрено в несвоевременном уничтожении 21684 документов (но не персональных данных, хранящихся в информационной системе), названных в акте от 01.04.2009 № 06, что связано уполномоченным органом исключительно истечением срока, отведённого для их хранения приказом от 02.12.2008 № С 08-02/0304-п. Между тем, этот вывод, по существу, основан Управлением Роскомнадзора по Омской области лишь на датах этих документов – с 1998 года по 2003 годы. Но такой вывод без непосредственного исследования документов, уничтоженных (иное не доказано) заявителем по накладной от 02.04.2009, является только предположением и не может учитывать, что, к примеру, договор, заключённый ОАО «МТС» в 1998 году, прекратил своё действие (был расторгнут) более чем пять лет назад. Вероятность того, что среди 21684 документов имеется хоть 1 документ, сроки хранения которого, исходя из требования приказа от 02.12.2008 № С 08-02/0304-п, истекли ранее, чем он был уничтожен, присутствует, но на допущении этого не могут быть основаны выводы уполномоченного органа, а вслед за ним и суда, не имеющего в любом случае доказательств для достоверного утверждая об этом.

Довод Управления Роскомнадзора по Омской области, состоящий в том, что несвоевременность уничтожения документов, усматривается и в том, что из 21684 документа уничтожены лишь 2000 документов, лишен состоятельности, поскольку нельзя считать опровергнутым то, что в накладной от 02.04.2009 № 1103 их количество поименовано в килограммах, учитывая, что они передавались для уничтожения посредством их переработки как вторичное сырье - как макулатура. Обязанность оператора, уничтожающего документы, раскрыть в каком-либо акте их реквизиты не предусмотрена законодательством о персональных данных. Отсутствие такой обязанности затрудняет контроль за тем, какие конкретные документы были уничтожены, но не может изменить вывод суда о незаконности обжалованного предписания в этой части как по причине ошибочного толкования уполномоченным органом понятий «цель обработки персональных данных» и «достижение цели обработки персональных данных», так и ввиду того, что заинтересованным лицом не представлено каких-либо доказательств нарушения части 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ, в том числе (несмотря на не указание этого в акте от 10.04.2009 № 2/03-14, но оговорку об этом в отзыве) и применительно не к документами в понимании бумажного носителя, а к информации, содержащейся в информационной системе персональных данных.

Ссылки Управления Роскомнадзора по Омской области на непредставление приказа о лице ответственности за погрузку и вывоз на утилизацию документов, отсутствие в накладной от 02.04.2009 № 1103 сведений о количестве переданных на уничтожение документов и расшифровки подписей лиц, удостоверивших её, а также акта об уничтожении, утверждённого руководителем общества, вне зависимости от того состоятельны они или нет, есть в любом случае основание для утверждения о несоблюдении порядка уничтожения, но не о том, что 21684 документа уничтожены несвоевременно, в чём и должно быть выражено нарушение части 4 статьи 21 ФЗ от 27 июля 2006 года № 152-ФЗ, вменённое ОАО «МТС» в вину, а потому не имеют правового значения для разрешения настоящего спора.

На основании изложенного, руководствуясь статьями 167-170, 201 Арбитражного процессуального кодекса Российской Федерации, именем Российской Федерации,

р е ш и л :

требование открытого акционерного общества «Мобильные ТелеСистемы» к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области о признании предписания от 14.04.2009 № 01-22/0020 недействительным удовлетворить полностью.

Признать предписание Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по Омской области от 14.04.2009 № 01-22/0020 об устранении выявленного нарушения в области персональных данных, выданное открытому акционерному обществу «Мобильные ТелеСистемы», недействительным как не соответствующее Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральному закону от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённому постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, порядку проведения классификации информационных систем персональных данных, утверждённому совместным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 года № 55/86/20.

Взыскать с Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области, зарегистрированного 23.07.2004 Инспекцией Федеральной налоговой службы № 1 по Центральному административному округу г. Омска за основным государственным регистрационным номером 1045504018570, имеющего местонахождение: 644001, г. Омск, ул. Куйбышева, д. 79, в пользу Открытого акционерного общества «Мобильные ТелеСистемы», зарегистрированного юридическим лицом 22.08.2002 Управлением Министерства Российской Федерации по налогам и сборам по г. Москве за основным государственным регистрационным номером 1027700149124, имеющего местонахождение: 109147, г. Москва, ул. Марксистская, д. 4, государственную пошлину в сумме 2000руб., уплаченную им при подаче заявления по платежному поручению от 03.06.2009 № 10347.

Решение вступает в законную силу по истечении месяца со дня его принятия, если не подана апелляционная жалоба, а в случае подачи апелляционной жалобы со дня принятия постановления арбитражным судом апелляционной инстанции.

Решение может быть обжаловано в порядке апелляционного производства в Восьмой арбитражный апелляционный суд (644024, г. Омск, ул. 10 лет Октября, д. 42) в течение месяца со дня принятия решения (изготовления его в полном объеме), а также в порядке кассационного производства в Федеральный арбитражный суд Западно-Сибирского округа (625010, г. Тюмень, ул. Ленина, д. 74) в течение двух месяцев со дня вступления решения по делу в законную силу.

Апелляционная и кассационная жалобы подаются в арбитражные суды апелляционной и кассационной инстанций через Арбитражный суд Омской области.

В случае обжалования решения в порядке апелляционного или кассационного производства информацию о времени, месте и результатах рассмотрения дела можно получить соответственно на интернет-сайтах Восьмого арбитражного апелляционного суда: http://8aas.arbitr.ru и Федерального арбитражного суда Западно-Сибирского округа: http://faszso.arbitr.ru.

Судья И.М. Солодкевич