СудАкт в соцсетях

Решение от 13 марта 2020 г. по делу № А51-24867/2019

Арбитражный суд Приморского края (АС Приморского края)

АРБИТРАЖНЫЙ СУД ПРИМОРСКОГО КРАЯ

690091, г. Владивосток, ул. Октябрьская, 27

Именем Российской Федерации

РЕШЕНИЕ

Дело № А51-24867/2019
г. Владивосток
13 марта 2020 года
Резолютивная часть решения объявлена 05 марта 2020 года.

Полный текст решения изготовлен 13 марта 2020 года.

Арбитражный суд Приморского края в составе судьи Фокиной А.А.,

при ведении протокола судебного заседания секретарем Ветвицким Е.А., рассмотрев в судебном заседании дело по заявлению общества с ограниченной ответственностью «Дром Ассист» (ИНН 2536285785; 2536285785, ОГРН 1152536007139; 1152536007139)

к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю (ИНН 2539063082, ОГРН 1042504058343)

об оспаривании письма от 04.09.2019 № 12516-05/25,

при участии в заседании:

от заявителя – не явились, извещены; от Управления – представителя ФИО2 (по доверенности от 27.12.2019 № 37-Д),

установил:

Общество с ограниченной ответственностью «Дром Ассист» (далее – заявитель, общество, ООО «Дром Ассист») обратилось в арбитражный суд с заявлением к Управлению Роскомнадзора по Приморскому краю (далее – административный орган, Управление Роскомнадзора по Приморскому краю, Роскомнадзор, Управление) о признании недействительным письма Управления Роскомнадзора по Приморскому краю от 04.09.2019 № 12516-05/25.

По мнению заявителя, Роскомнадзор грубо нарушил процедуру проведения государственного надзора и контроля, направив «Требование» в нарушение процедуры, установленной Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ, Закон о персональных данных).

ООО «Дром Ассист» убеждено, что Управлением Роскомнадзора не назначалась плановая или внеплановая проверка общества.

По мнению заявителя, порядок организации и проведения мероприятий по контролю без взаимодействия с операторами установлен разделом «X» «Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных», утвержденным Постановлением Правительства России от 13.02.2019 года №146 (далее – Правила №146), который не предусматривает право Роскомнадзора направлять какие-либо запросы в адрес оператора или требовать предоставления оператором каких-либо сведений или документов. Указанные процедуры осуществляются только и исключительно при проведении Роскомнадзором проверки оператора в порядке разделов «II - VIII» Правил №146.

По мнению общества, возложение на общество под угрозой наказания необоснованных требований со стороны Роскомнадзора по представлению значительного объема сведений и документов нарушает права ООО «Дром Ассист» в сфере предпринимательской деятельности.

Управление Роскомнадзора по Приморскому краю, возражая против требований заявителя, сослалось на судебную практику по аналогичным делам № А51-8681/2019, № А51-8682/2019 и пояснило, что право направления запросов и получения указанной информации Управлением как уполномоченным органом по защите прав субъектов персональных данных закреплено статьей 23 Закона № 152-ФЗ, согласно пункту 1 части 3 которой данный орган вправе запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию.

По мнению Роскомнадзора, направление запроса о предоставлении информации, необходимой для реализации задач, возложенных на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), не может рассматриваться как проведение проверки в отношении ООО «Дром Ассист».

Из материалов дела судом установлено следующее.

В ходе реализации возложенных полномочий Управление Роскомнадзора по Приморскому краю были выявлены признаки деятельности, предполагающей обработку ООО «Дром Ассист» персональных данных, в связи с чем 04.09.2019 в его адрес было направлено уведомление за № 12516-05/25, которое содержало требование:

– уведомить уполномоченный орган о своём намерении осуществлять обработку персональных данных до начала обработки персональных данных;

– в случае наличия у ООО «Дром Ассист» оснований, позволяющих осуществлять деятельность по обработке персональных данных без уведомления уполномоченного органа, просило предоставить следующие сведения об обработке ООО «Дром Ассист» персональных данных:

перечень персональных данных, обрабатываемых ООО «Дром Ассист», и источники их получения;

сведения о категориях лиц, чьи персональные данные обрабатывает ООО «Дром Ассист»;

цели и правовые основания осуществления ООО «Дром Ассист» обработки персональных данных, в том числе относительно передачи персональных данных третьим лицам;

способы обработки ООО «Дром Ассист» персональных данных;

использование информационных систем персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем;

информацию, подтверждающую принятие мер по соблюдению требований части 1 статьи 18.1 Закона о персональных данных;

сведения о соблюдении требований части 5 статьи 18 Закона о персональных данных в части обеспечения размещения баз персональных данных на территории Российской Федерации.

Запрашиваемую информацию необходимо было предоставить в сроки, установленные части 4 статьи 20 Закона, по электронной почте на адрес rsockanc25@rkn.gov.ru, rkn25@pfrkn.cloud.rt.ru и направить письмо по адресу Беломорская ул., <...>; а/я 2210, <...>.

Также ООО «Дром Ассист» было разъяснено, что в случае непредставления или несвоевременного представления в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в не полном объеме или в искаженном виде, предусматривается административная ответственность в соответствии со статьей 19.7 КоАП РФ.

Не согласившись с названным письмом, полагая, что как ненормативный акт оно возлагает на общество обязанности и нарушает его права в предпринимательской деятельности, общество обратилось в арбитражный суд с рассматриваемым заявлением.

Рассмотрев заявленные требования, изучив материалы дела, выслушав доводы сторон, суд считает требование заявителя не подлежащим удовлетворению по следующим основаниям.

В силу части 1 статьи 198 Арбитражного процессуального кодекса Российской Федерации (далее – АПК РФ) граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.

Согласно статье 201 АПК РФ для признания недействительным ненормативного правового акта, решения, действия (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц необходима совокупность двух условий: несоответствие оспариваемого акта (решения) закону и иному нормативному правовому акту и нарушение указанным актом прав и законных интересов заявителя.

Частью 4 статьи 200 АПК РФ и пунктом 6 Постановления Пленумов Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации от 01.07.1996 № 6/8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» предусмотрено, что условиями принятия арбитражным судом решения о признании недействительными ненормативных правовых актов и незаконными решений и действий (бездействия) государственных органов является наличие одновременно двух обязательных условий: несоответствие их закону или иному нормативному правовому акту, а также нарушение прав и законных интересов заявителя.

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным регулируются Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ, Закон о персональных данных).

Целью названого Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2 Закона № 152-ФЗ).

Основные принципы защиты данных личного характера получили закрепление в Конвенции Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года).

Эти принципы отражают требования, предъявляемые: к качеству данных (получены и обработаны законным путем, зарегистрированы с определенной и законной целью и не используются вразрез с этой целью и др.); специальным категориям данных (данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни, подлежат автоматизированной обработке только в том случае, если законодательство предоставляет надлежащие гарантии; аналогичное правило применяется относительно данных личного характера, связанных с уголовным осуждением); безопасности данных (приняты надлежащие меры безопасности для защиты данных личного характера, зарегистрированных в автоматизированных картотеках, от случайного или неразрешенного разрушения или от случайной утери, а также от неразрешенных доступа к ним, изменения или распространения); дополнительным гарантиям для субъекта данных (любое лицо должно иметь возможность: узнать о существовании автоматизированной картотеки данных личного характера, ее цели; получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме; требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений законодательства, и т.д.).

Россия ратифицировала данную Конвенцию Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

В соответствии с частью 4 статьи 15 Конституции Российской Федерации общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.

В силу пункта 1 статьи 4 Закона № 152-ФЗ законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

Персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (пункт 2 статьи 3 Закона № 152-ФЗ).

Согласно пункту 3 статьи 3 Закона № 152-ФЗ под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

На основании части 3 статьи 6 Закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

Из материалов дела усматривается, что согласно сведениям ЕГРЮЛ ООО «Дром Ассист» осуществляет в том числе деятельность, связанную с использованием вычислительной техники и информационных технологий, прочую (код 62.09), а также деятельность по созданию и использованию баз данных и информационных ресурсов (код 63.11.1), в связи с чем относится к категории операторов персональных данных.

Как указано ранее, основной целью Закона о персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

Указанной цели корреспондируют закрепленные в Главе 4 Закона № 152-ФЗ обязанности оператора при обращении с персональными данными.

Так, в соответствии с пунктом 5 статьи 18 Закона № 152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Согласно пункту 1 статьи 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных (пункт 8 стать 19 Закона № 152-ФЗ).

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, в силу части 1 статьи 23 Закона № 152-ФЗ является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, определено, что Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Согласно пункту 2 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю, утвержденного приказом Роскомнадзора от 25.012016 № 70, на территории Приморского края функции по контролю и надзору в области персональных данных осуществляет Управление Роскомнадзора по Приморскому краю.

Законом № 152-ФЗ закреплены права уполномоченного органа, представляющие собой отдельные властные полномочия, направленные на защиту прав субъектов персональных данных.

Пункт 1 части 3 статьи 23 названного Закона устанавливает право уполномоченного органа запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, а также право безвозмездно получать такую информацию.

Указанному праву уполномоченного органа соответствует установленная в части 4 статьи 20 Закона № 152-ФЗ обязанность оператора персональных данных сообщить в уполномоченный орган по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса

По изложенному следует вывод о том, что не может быть признан правомерным довод заявителя об отсутствии у Управления Роскомнадзора по Приморскому краю полномочий на самостоятельное выявление операторов путем направления требований о предоставлении информации об обработке персональных данных или неосуществлении такой деятельности, поскольку реализация административным органом функции контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных предполагает возможность истребования у любых лиц информации, необходимой для выявления правонарушений в данной сфере, их предупреждения и пресечения, а также проверки достоверности предоставляемой информации.

Поскольку ООО «Дром Ассист» в соответствии со статьями 3, 20 Закона № 152-ФЗ является оператором, обязанным предоставлять уполномоченному органу запрашиваемые сведения, касающиеся деятельности по обработке персональных данных, основания для признания требования Управлением Роскомнадзора по Приморскому краю незаконным отсутствуют.

Указание общества на обработку указанных в статье 22 Закона № 152-ФЗ данных в нарушение пункта 1 статьи 65 АПК РФ не нашло документального подтверждения при рассмотрении дела.

Кроме того, в запросе от 04.09.2019 № 12516-05/25, помимо указания на необходимость представления уведомления об обработке персональных данных, также было указано на необходимость представить соответствующие сведения об обработке персональных данных в случае наличия у предпринимателя оснований, позволяющих осуществлять деятельность по обработке персональных данных без уведомления.

Также подлежит отклонению довод заявителя о том, что оспариваемое требование подлежит направлению оператору исключительно в рамках проводимой проверки, осуществленной в соответствии с «Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных», утвержденными Постановлением Правительства России от 13.02.2019 года №146, поскольку абзацем 2 пункта 1 указанных Правил определено, что действие указанных Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных».

Кроме того, содержание части 3 статьи 23 Закона № 152-ФЗ не позволяет сделать вывод о том, что запрос у физических или юридических лиц информации может быть осуществлен исключительно в рамках проводимой уполномоченным органом проверки.

При таких условиях, учитывая, что оспариваемое письмо не противоречит закону и не нарушает права и законные интересы заявителя, согласно части 3 статьи 201 АПК РФ суд отказывает обществу в удовлетворении его требования.

В соответствии со статьей 110 АПК РФ судебные расходы по уплате государственной пошлины относятся на заявителя.

Учитывая изложенное, руководствуясь статьями 167-170, 201, 110 Арбитражного процессуального кодекса РФ, суд

р е ш и л :

В удовлетворении требования общества с ограниченной ответственностью «Дром Ассист» о признании недействительным письма Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Приморскому краю от 04.09.2019 № 12516-05/25 отказать.

Решение может быть обжаловано через арбитражный суд Приморского края в течение месяца со дня его принятия в Пятый арбитражный апелляционный суд и в Арбитражный суд Дальневосточного округа в срок, не превышающий двух месяцев со дня вступления решения в законную силу, при условии, что оно было предметом рассмотрения апелляционной инстанции.

Судья А.А. Фокина