СудАкт в соцсетях

Решение от 16 декабря 2019 г. по делу № А14-6779/2019

Арбитражный суд Воронежской области (АС Воронежской области)

АРБИТРАЖНЫЙ СУД ВОРОНЕЖСКОЙ ОБЛАСТИ

ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

РЕШЕНИЕ

г. Воронеж Дело №А14-6779/2019

"16" декабря 2019 года

Резолютивная часть решения объявлена 09.12.2019

В полном объеме решение изготовлено 16.12.2019

Арбитражный суд Воронежской области в составе судьи Т.Н.Максимович

при ведении протокола судебного заседания секретарем ФИО1,

рассмотрев в открытом судебном заседании дело по заявлению

АО "УК Ленинского района" (ОГРН <***> ИНН <***>), г. Воронеж

к Управлению Роскомнадзора по Воронежской области (ОГРН <***> ИНН <***>), г. Воронеж

о признании недействительным предписания от 21.02.2019 № П-36/5/2-нд/-/1/3

при участии в судебном заседании представителей:

от заявителя - не явился, извещен,

от Управления Роскомнадзора – ФИО2 по доверенности от 10.01.2019 №2-Д, ФИО3, по доверенности от 10.01.2019 №1-Д

установил:

Акционерное общество "Управляющая компания Ленинского района" (далее- АО "УК Ленинского района", заявитель) обратилось в арбитражный суд с заявлением о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Воронежской области (далее- Управление Роскомнадзора по Воронежской области) от 21.02.2019 № П-36/5/2-нд/-/1/3.

Определением Арбитражного суда Воронежской области от 19.04.2019 приняты обеспечительные меры в виде приостановления действия оспариваемого предписания до вступления в законную силу судебного акта по настоящему делу.

В порядке ст.156 АПК РФ дело рассматривалось в отсутствие заявителя, надлежаще извещенного о времени, месте и дате судебного заседания, заявившего ходатайство о рассмотрении дела в его отсутствие.

Представитель Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Воронежской области возражала против заявленных требований по основаниям, изложенным в отзыве.

В судебном заседании 25.11.2019 объявлялись перерывы до 02.12.2019, до 09.12.2019.

Судом установлены следующие обстоятельства.

Постановлением Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» на основании ч. 1 ст. 78 Конституции Российской Федерации определена структура и полномочия службы.

Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (далее - Административный регламент) определен, в том числе предмет государственного контроля (надзора), а также права и обязанности должностных лиц при осуществлении государственного контроля (надзора).

На основании приказов от 09.01.2019 №2-нд, от 08.02.2019 №12-гд Управлением Роскомнадзора по Воронежской области проведена плановая выездная проверка соблюдения АО "УК Ленинского района" обязательных требований в области персональных данных.

В ходе проведенной с 14.01.2019 по 21.02.2019 проверки Управление Роскомнадзора проанализировав содержание Уведомления об обработке (о намерении осуществлять обработку) персональных данных от 11.01.2014, направленного руководителю Управления Роскомнадзора 17.06.2014, и соответствующих документов, выявило нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Данные нарушения зафиксированы в акте проверки от 21.02.2019 №А-36/5/2-нд/10.

21.02.2019 Управление Роскомнадзора по Воронежской области выдало управляющей компании предписание №П-36/5/2-нд/-/1/3, согласно которому обществу надлежит устранить следующие нарушения:

1. Нарушения требований ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных», в части не представления в уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Воронежской области) сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных:

- в пункте «наименование, адрес оператора» неверно указано наименование и адрес Оператора. Согласно информации, указанной в ЕГРЮЛ полное наименование Оператора - акционерное общество «Управляющая компания Ленинского» района», адрес - 394006, <...>, помещение часть 48;

- в пункте «категории персональных данных» не указаны: сведения о состоянии здоровья (содержатся в листках нетрудоспособности); сведения о доходах (содержатся в штатном расписании, трудовом договоре работника ФИО4 (директор общества), приказе о приеме на работу ФИО4); дата регистрации по месту жительства; сведения о том, откуда и когда прибыл; дата снятия с регистрационного учета (содержатся в карточке регистрации ФИО5, ФИО6); серия, номер свидетельства о государственной регистрации права (содержатся в договоре управления многоквартирным домом ФИО7. от 07.10.2013 г., ФИО8 от 21.03.2017., ФИО9 от 15.03.2017 г., ФИО10 от 05.09.2018 г.); номер расчётного счёта (содержится в заявлении работника ФИО4 от 01.08.2018 г. о перечислении заработной платы); состав семьи (содержится в снимках экрана выписки из домовой книги (поквартирной карточки) по адресу улица Моисеева, д.3, кв.5);

- в пункте «категории субъектов, персональные данные которых обрабатываются» не указаны: близкие родственники работников (персональные данные субъектов содержатся в личной карточке работника ФИО4); уволенные работники (сведения об уволенных хранятся у Оператора в течение 75 лет в соответствии с трудовым законодательством РФ); собственников (нанимателей) жилых и нежилых помещений и членов их семей (персональные данные содержатся в поквартирной карточке ФИО11);

- в пункте «правовое основание обработки персональных данных» не указаны Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»; Закон РФ о: 07.02.1992 № 2300-1 «О защите прав потребителей»; Жилищный кодекс Российской Федерации; Гражданский Кодекс Российской Федерации; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Постановление Правительства РФ с 06.05.2011 № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов»; Постановление Правительства РФ от 17.07.1995 № 713 "Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»; Постановление Правительств РФ от 15.05.2013 № 416 «О порядке осуществления деятельности по управлению многоквартирными домами»; Постановление Правительства РФ от 13.08.2006 № 491 «О утверждении Правил содержания общего имущества в многоквартирном доме и правил изменения размера платы за содержание жилого помещения в случае оказания услуг выполнения работ по управлению, содержанию и ремонту общего имущества многоквартирном доме ненадлежащего качества и (или) с перерывами, превышающим установленную продолжительность»; Постановление Правительства РФ от 27.08.2012 № 857 «Об особенностях применения Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов Постановление Правительства РФ от 26.12.2016 № 1498 «О вопросах предоставления коммунальных услуг и содержания общего имущества в многоквартирном доме»; Приказ Минстроя России от 25.12.2015 № 937/пр «Об утверждении Требований к оформлению протоколов общих собраний собственников помещений в многоквартирных домах и Порядка передачи копий решений и протоколов общих собраний собственников помещений в многоквартирных домах в уполномоченные органы исполнительной власти субъектов Российской Федерации, осуществляющие государственный жилищный надзор». Кроме того, указаны нормативные акты, которые не являются правовым основанием обработки персональных данных, а являются нормативными документами, регулирующими обработку персональных данных - Федеральный закон от 27.07.2006 № №152-ФЗ «О персональных данных»; Ст.ст. 23, 24 Конституции Российской Федерации. Также статья 85 ТК РФ утратила силу;

- в пункте «перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных» не указаны действия, которые Оператор осуществляет с персональными данными: передача и уничтожение;

- в пункте «описание мер, предусмотренных статьями 18.1 и 19 настоящего федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств»: Оператором не указаны меры, которые фактически АО «УК Ленинского района» принимает для защиты персональных данных, а именно: назначение ответственного за организацию обработки персональных данных (Приказ №4 от 01.08.2018 г. «О принятии ответственности по работе с персональными данными»), издание документа, определяющего политику в отношении обработки персональных данных (Положение о защите персональных данных от 09.04.2014 г., утверждено директором ОАО «УК Ленинского района»);

- в пункте «ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты» неверно указана информация об ответственном за организацию обработки персональных данных и контактная информация о нем, а именно: ФИО12 на дату проведения проверки не является директором АО «УК Ленинского района», кроме того, изменилось местонахождение Оператора: 394006, <...>, помещение часть 48;

- в пункте «сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации» информация не была представлена Оператором в установленный законом срок.

2. Нарушения требований ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", в части непринятия мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, а именно: не осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

3. Нарушения требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", в части непринятия мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а именно: необеспечение неограниченного доступа к Положению о защите персональных данных, утвержденному ОАО «УК Ленинского района» 09.04.2014г.

4. Нарушение требований ч. 3 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", в части отсутствия в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а так же требований к защите обрабатываемых персональных данных (договор между Оператором и обществом с ограниченной ответственностью «КонтактЦентр» на предоставление диспетчерских и информационных услуг от 01.06.2013 и договор с АО «ЕПСС ЖКХ ВО» об обеспечении информационного и технологического взаимодействия по расчетам с собственниками и нанимателями жилых помещений и поставщиками коммунального ресурса №ИТ080/16 от 01.02.2016).

5. Нарушение требований ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-фЗ "О персональных данных", в части несоответствии содержания письменного согласия на передачу персональных данных третьей стороне ФИО4 от 01.08.2018г. (отсутствует адрес оператора - АО «УК Ленинского района», получающего согласие субъекта персональных данных).

Предписанием №П-36/5/2-нд/-/1/3 от 21.02.2019 Управление Роскомнадзора по Воронежской области обязало общество в срок до 22.04.2019 устранить указанные нарушения.

Полагая, что вынесенное предписание не обладает признаками конкретности и исполнимости, не содержит информации о тех мероприятиях, которые должны быть проведены обществом, является неопределенным, заявитель обратился в суд с настоящим заявлением.

Изучив материалы дела, заслушав пояснения представителей сторон, оценив представленные доказательства в их совокупности, суд считает, что заявленные требования подлежат удовлетворению по следующим основаниям.

В соответствии со статьей 4 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ) заинтересованное лицо вправе обратиться в арбитражный суд за защитой своих нарушенных или оспариваемых прав и законных интересов в порядке, установленном Арбитражным процессуальным кодексом.

Согласно части 1 статьи 198 АПК РФ граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.

Для признания недействительными актов и незаконными действий (бездействий) необходимо одновременное существование указанных в статьи 198 АПК РФ условий: несоответствие их закону или иным нормативным правовым актам и нарушение прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности.

Федеральным законом №152-ФЗ от 27.07.2006 "О персональных данных" регулируются отношения, связанные с обработкой персональных данных. При этом под обработкой понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ч.3 ст.6 названного Закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

В поручении оператору должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Между тем, данное требование обществом не соблюдено в части отсутствия указанного поручения при заключении договоров с ООО "КонтактЦентр" на предоставление диспетчерских и информационных услуг от 01.06.2013, с АО "ЕПСС ЖКХ ВО" об обеспечении информационного и технологического взаимодействия по расчетам с собственниками и нанимателями жилых помещений и поставщиками коммунального ресурса № ИТ080/16 от 01.02.2016.

В силу ч.4 ст.9 Федерального закона №152 в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Согласно ч.1,2 Закона оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Частью 7 ст. 22 Закона предусмотрено, что в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Управлением Роскомнадзора по Воронежской области доказано, что уведомление об обработке (о намерении осуществлять обработку) персональных данных от 11.06.2014 содержит не полную информацию.

Доводы заявителя о неисполнимости оспариваемого предписания противоречат содержанию предписания и материалам дела, поскольку к акту проверки от 21.02.2019 приложена справка о результатах плановой выездной проверки общества с подробным описанием нарушений и способов их устранения, оба документа были направлены заявителю и получены им.

Указанное предписание является конкретным и исполнимым, содержит информацию о мероприятиях, которые должны быть проведены обществом и соответствует требованиям, предъявляемым п.86 Административного регламента, утвержденного приказом Минкомсвязи России от 14.11.2011 N 312.

Судом установлено, что оспариваемое предписание выдано правомерно, в соответствии с полномочиями, предоставленными Управлению Роскомнадзора по Воронежской области, соответствует приведенным требованиям закона и не нарушает прав и законных интересов АО "УК Ленинского района".

На основании изложенного, в удовлетворении заявленных требований следует отказать.

На основании ст. 110 АПК РФ, расходы по уплате госпошлины в размере 3 000 руб., понесенные при обращении в суд с данным заявлением, относятся на АО "УК Ленинского района".

Руководствуясь ст. ст. 65, 71, 110, 167-170, 197-201 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

РЕШИЛ:

отказать акционерному обществу "Управляющая компания Ленинского района" (ОГРН <***> ИНН <***>), г. Воронеж в удовлетворении заявленных требований.

Отменить обеспечительные меры, принятые определением суда от 19.04.2019, после вступления настоящего решения в законную силу.

Решение может быть обжаловано в месячный срок со дня принятия в Девятнадцатый арбитражный апелляционный суд через Арбитражный суд Воронежской области.

Судья Т.Н.Максимович