Решение от 18 февраля 2023 г. по делу № А82-19720/2022АРБИТРАЖНЫЙ СУД ЯРОСЛАВСКОЙ ОБЛАСТИ 150999, г. Ярославль, пр. Ленина, 28 http://yaroslavl.arbitr.ru Именем Российской Федерации Дело № А82-19720/2022 г. Ярославль 18 февраля 2023 года Резолютивная часть решения оглашена 08 февраля 2023 года. Арбитражный суд Ярославской области в составе судьи Соловьева А.Н. при ведении протокола судебного заседания секретарем судебного заседания ФИО1, рассмотрев в судебном заседании заявление ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "ТНС ЭНЕРГО ЯРОСЛАВЛЬ" (ИНН <***>, ОГРН <***>) к УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО ЯРОСЛАВСКОЙ ОБЛАСТИ (ИНН <***>, ОГРН <***>) о признании недействительным и отмене предписания от 31.10.2022 № П-76/6/67- нд/-/1/3. при участии: от заявителя – ФИО2 по доверенности от 07.12.2022, от ответчика – ФИО3 по доверенности от 11.01.2023, ФИО4 по доверенности от 12.01.2023, ФИО5 по удостоверению № 14159 ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "ТНС ЭНЕРГО ЯРОСЛАВЛЬ" (далее - Общество) обратилось в арбитражный суд с заявлением к УПРАВЛЕНИЮ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО ЯРОСЛАВСКОЙ ОБЛАСТИ (далее - Управление) о признании недействительным предписания об устранении выявленных нарушений от 31.10.2022 № П-76/6/67- нд/-/1/3. В жалобе Общество указывает, что обжалуемое предписание не содержит четкой формулировки тех мер, которые Общество должно выполнить, адреса электронных почт и номера телефонов потребителей были обработаны ООО "Медиа Страйк" без согласия Общества и в нарушение заключенного с Обществом договора, попавшие в открытый доступ данные нельзя считать персональными данными, указанные данные попали в открытый доступ ввиду противоправной деятельности неустановленных лиц, при проведении проверки в отношении Общества Управлением допущены грубые нарушения. Представитель Общества в судебном заседании доводы жалобы поддержал. Представители Управления в судебном заседании возражали против удовлетворения заявленных требований. В ходе судебного разбирательства установлено следующее. В период с 18.10.2022 по 31.10.2022 на основании поручения Заместителя председателя Правительства РФ от 12.10.2022 № ДЧ-П10-17250, Решения и.о. руководителя Управления от 14.10.2022 № 67-нд Управлением в отношении Общества проведена внеплановая документарная проверка по вопросам соблюдения Обществом требований законодательства об обработке персональных данных, в ходе которой выявлены факты нарушения требований ч.1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных). По результатам проверки 31.10.2022 Управлением составлен акт внеплановой документарной проверки № А-76/6/67-нд/47, а также в адрес Общества направлено предписание № П-76/6/67- нд/-/1/3, в соответствии с которым Обществу предписано в срок не позднее 31.01.2023 устранить выявленные нарушения положений ч.1 ст. 6 Закона о персональных данных. Общество, полагая, что оспариваемое предписание Управления возлагает на него обязанность совершить действия, не предусмотренные действующим законодательством, обратилось в суд с рассмотренными требованиями. Изучив материалы дела, доводы жалобы, заслушав мнение представителей Общества и Управления, суд приходит к следующему. Согласно части 1 статьи 198 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ) граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности. В соответствии с ч.1 ст. 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Как следует из ч.3 ст. 23 Закона о персональных данных, Уполномоченный орган по защите прав субъектов персональных данных имеет право, в том числе: - осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий; - принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований данного Федерального закона; - привлекать к административной ответственности лиц, виновных в нарушении данного Федерального закона. В соответствии с постановлением Правительства РФ от 16.03.2009 N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Согласно пункту 5.1.1.7 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет федеральный государственный контроль (надзор) за обработкой персональных данных. В силу пункта 1 части 1 статьи 17 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального надзора" в случае выявления при проведении проверки нарушений юридическим лицом, индивидуальным предпринимателем обязательных требований или требований, установленных муниципальными правовыми актами, должностные лица органа государственного контроля (надзора), органа муниципального контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны выдать предписание юридическому лицу, индивидуальному предпринимателю об устранении выявленных нарушений с указанием сроков их устранения и (или) о проведении мероприятий по предотвращению причинения вреда жизни, здоровью людей, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, имуществу физических и юридических лиц, государственному или муниципальному имуществу, предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, а также других мероприятий, предусмотренных федеральными законами. В статье 3 Закона о персональных данных определены основные понятия, используемые в данном законе: - персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (пункт 1); - обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт3); В соответствии со ст. 6 Закона о персональных данных: -обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом (часть1); -оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона (часть 3); -в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором (часть 5). В соответствии со ст.7 Закона о персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласно части 1 статьи 19 Закона о персональных данных Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Установлено, что 04.04.2022 между Обществом и ООО «Медиа Страйк» заключен договор возмездного оказания услуг № 17/22/У (далее - Договор). В соответствии с п. 2.1.6 Договора Заказчик поручает и оплачивает, а Исполнитель обязуется оказать Заказчику работы/услуги по технической поддержке и хостингу сайта, оболочек личных кабинетов физических и юридических лиц, системы обработки обращений, сайтов сервисных услуг. Согласно ст.3 и ст. 6 Закона о персональных данных в соответствии с заключенным договором Общество фактически поручило ООО "Медиа Страйк" обработку персональных данных клиентов Общества, в связи с чем, Общество несет ответственность перед клиентами за нарушение порядка и условий обработки их персональных данных. 02.07.2022 в 19:52 час. неустановленные лица из корыстных побуждений путем требования передачи имущества под угрозой распространения сведений, которые могут причинить существенный вред правам и законным интересам Общества осуществили неправомерный доступ к электронному ресурсу Общества corp.tns-e.ru (далее веб-сайт) и веб-приложению phpMy Admin. Затем указанные лица внесли изменения в структуру электронного ресурса, произвели затирание информации, копирование баз данных, а также выполнили замену главной страницы веб-сайта на страницу, содержащую требование о выплате денежных средств. В связи с невыполнением выдвинутых требований 22.07.2022 в 14:24 час. в Telegram канале @dumpforumschat неустановленными лицами было опубликовано сообщение с прикрепленным архивом «tns-e.ru2 dfScas.rar», содержащим электронные почтовые ящики, дату регистрации, хэшированные пароли и номера клиентов Общества. В ходе проведенной Управлением проверки установлено, что атака стала возможной из-за уязвимостей CMS Bitrix, которую своевременно не устранили администраторы электронного ресурса, и не в полном объеме реализованных ООО «Медиа Страйк» мер по обеспечению безопасности персональных данных при их обработке. По результатам анализа фрагментов базы данных клиентов Общества Управлением установлено наличие персональных данных в объеме: e-mail, номер телефона. В связи с выявленными нарушениями Управлением в отношении Общества обоснованно вынесено обжалуемое предписание. В части доводов об отсутствии в предписании четкой формулировки действий, которые необходимо выполнить Обществу установлено следующее. Статья 17 Федерального закона № 294-ФЗ, равно как и положения Федерального закона № 248-ФЗ, не содержат императивных указаний о форме и обязательных реквизитах предписания, в том числе о необходимости указания конкретного способа его исполнения. Таким образом, действующее законодательство в установленной сфере не содержит требований об указании в предписании конкретных мероприятий (действий) по устранению выявленных нарушений. Отсутствие в предписании конкретных действий, подлежащих совершению в целях устранения (прекращения) нарушения, предоставляет Обществу возможность самостоятельно избрать приемлемый для него механизм исполнения предписания. Факт нарушения обжалуемым предписанием прав и законных интересов общества отсутствует. Доводы Общества о распространении персональных данных ввиду противоправной деятельности иных лиц не являются основанием для признания обжалуемого предписания незаконным. Вышеуказанные нарушения возникли из-за выявленных Управлением недостатков в деятельности Общества в сфере обработки персональных данных физических лиц, являющихся пользователями услуг Общества. В соответствии с ч.5 ст. 6 Закона о персональных данных Общество, поручившее обработку персональных данных своих клиентов ООО "Медиа Страйк", несет ответственность перед клиентами, как субъектами персональных данных, за действия ООО "Медиа Страйк". Противоправная деятельность неустановленных лиц, следствием которой явилось распространение персональных данных клиентов Общества, не освобождает Общество от обязанности принять меры, направленные на устранение выявленных нарушений. Доводы Общества о том, что попавшие в сеть данные клиентов не являются персональными несостоятельны, поскольку в соответствии со ст. 3 Закона о персональных данных адреса электронной почты и привязанные к ним телефонные номера абонентов относятся к категории персональных данных, и, следовательно, использование адреса электронной почты и номера телефона является обработкой персональных данных. Доводы Общества о грубом нарушении порядка проведения проверки, что выразилось в указании в Решении Управления от 14.10.2022 №67 о проведении внеплановой проверки, тогда как фактически была проведена документарная проверка, не являются основанием для признания результатов проверки незаконными. Указание в Решении о проведении выездной проверки является технической ошибкой, которая устранена определением и.о. руководителя Управления от 28.11.2022 № ОИ-76/6/8943. В соответствии с предоставленными документами Управлением проведена именно документарная проверка Общества. Нарушений норм процессуального права, являющихся основаниями для отмены обжалуемого предписания не установлено, в связи с чем, в удовлетворении заявленных требований суд отказывает. Решение, выполненное в форме электронного документа, направляется лицам, участвующим в деле, посредством его размещения в установленном порядке в информационно-телекоммуникационной сети «Интернет» в режиме ограниченного доступа (ч.1 ст.177 АПК РФ). Руководствуясь статьями 167-170, 211, 227-229 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд Отказать ПУБЛИЧНОМУ АКЦИОНЕРНОМУ ОБЩЕСТВУ "ТНС ЭНЕРГО ЯРОСЛАВЛЬ" в удовлетворении заявленных требований. Решение может быть обжаловано в порядке апелляционного производства во Второй арбитражный апелляционный суд в месячный срок со дня его принятия (изготовления его в полном объеме). Апелляционная жалоба подается через Арбитражный суд Ярославской области на бумажном носителе или в электронном виде, в том числе в форме электронного документа, через систему «Мой арбитр» (http://my.arbitr.ru). Судья А.Н. Соловьев Суд:АС Ярославской области (подробнее)Истцы:ПАО "ТНС ЭНЕРГО ЯРОСЛАВЛЬ" (ИНН: 7606052264) (подробнее)Ответчики:УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО ЯРОСЛАВСКОЙ ОБЛАСТИ (ИНН: 7604068029) (подробнее)Судьи дела:Соловьев А.Н. (судья) (подробнее)Последние документы по делу: |
