Решение от 22 мая 2023 г. по делу № А49-14214/2022Арбитражный суд Пензенской области (АС Пензенской области) - Административное Суть спора: об оспаривании ненормативных правовых актов, решений и действий (бездействия) государственных органов субъектов РФ Арбитражный суд Пензенской области 440000, Кирова, д. 35/39, Пенза, обл. Пензенская тел.: (8412) 52-99-37, 52-99-72, факс: 52-99-45, Веб-адрес: http://www.penza.arbitr.ru/ ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ Арбитражный суд Пензенской области в составе председательствующего судьи Табаченкова М. В., при ведении протокола судебного заседания помощником судьи Володиной О. Ф., рассмотрев в открытом судебном заседании дело по заявлению общества с ограниченной ответственностью «ТНС энерго Пенза» (ОГРН <***>, ИНН <***>) к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пензенской области (ОГРН <***>, ИНН <***>) третье лицо - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ОГРН <***>, ИНН <***>) о признании недействительным предписания при участии в судебном заседании: от заявителя – начальника отдела правового обеспечения ФИО1 (доверенность № 330 от 22.12.2022); от ответчика – начальника отдела контроля и надзора в сфере массовых коммуникаций ФИО2 (доверенность № 1-Д от 15.02.2023); от третьего лица – не явились; общество с ограниченной ответственностью «ТНС энерго Пенза» (далее – заявитель, Общество, ООО ТНС энерго Пенза) обратилось 30.12.2022 в арбитражный суд с заявлением (том 1 л. д. 3), в котором просит признать недействительными акт внеплановой документарной проверки от 31.10.2022 № А-58/1/65-нд/46 и предписание от 31.10.2022 № П-58/1/65-нд/-/1/4 Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пензенской области. Заявитель основывает свои требования на следующих доводах. Решением от 14.10.1022 № 65-нд Управления Роскомнадзора была назначена внеплановая документарная проверка в отношении Общества. По результатам проведённой проверки Управлением Роскомнадзора в адрес ООО ТНС энерго Пенза были направлены: - акт внеплановой документарной проверки в отношении Общества от 31.10.2022 № А58/1/65-нд/46 со Справкой о результатах проведённой проверки; - предписание об устранении выявленного нарушения от 31.10.2022 № П-58/1/65-нд/-/1/4 (далее – предписание от 31.10.2022). На основании вышеуказанного акта Управлением Роскомнадзора был составлен протокол от 15.11.2022 об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ, который передан в мировой суд Октябрьского района г. Пензы для рассмотрения и привлечения к административной ответственности Общества. 22.11.2022 Общество в установленном досудебном порядке подало жалобу на акт проверки и предписание от 31.10.2022, которая решение Управления Роскомнадзора от 12.12.2022 оставлена без удовлетворения. Под ненормативным правовым актом понимается акт индивидуального характера, устанавливающий, изменяющий или отменяющий права и обязанности конкретных лиц. Такого рода акт властно-распорядительного характера должен содержать обязательные предписания, распоряжения, влияющие на их гражданские права и охраняемые законом интересы. Характерной особенностью ненормативного правового акта является содержание в нём обязательных предписаний (правил подведения), порождающих юридические последствия. Согласно правовой позиции Конституционного Суда Российской Федерации, изложенной в определении от 19.04.2007 № 286-О-О, суды не вправе ограничиваться формальным установлением характера оспариваемого акта, а обязаны выяснить, затрагивает ли он права организаций и иных лиц, соответствует ли законам и иным актам отраслевого законодательства, и должны в каждом конкретном случае реально обеспечивать эффективное восстановление нарушенных прав. Акт внеплановой документарной проверки и предписание от 31.10.2022 не соответствуют законодательству РФ, обладают признаками ненормативного правового акта, поскольку носят индивидуальный характер, влияют на права и охраняемые законом интересы Общества в сфере предпринимательской деятельности, порождают для него соответствующие юридические последствия, так как в соответствии с этим актами в отношении Общества могут быть применены меры административного воздействия. Следовательно, указанные акты от 31.10.2022 могут быть оспорены в арбитражном суде в порядке главы 24 АП РФ. ООО ТНС энерго Пенза не согласно с актами Управления Роскомнадзора по следующим основаниям, 1. Отсутствие факта распространения персональной информации. В акте проверки и в предписании от 31.10.2022 Управлением Роскомнадзора указано, что Обществом допущено нарушение требований ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» в части предоставления неправомерного доступа к информационной системе персональных данных (ИСПДн) «расчеты с потребителями», повлекшее за собой распространение персональных данных потребителей коммунальной слуги Общества неограниченному кругу лиц путём размещения в сети Интернет по адресам dumpforums.com, а также в Telegram-канале @dumpforumschat. Далее в указанных актах контролирующим органом определено, что «данное нарушение подтверждается снимками экрана ИСПДн «Расчеты с потребителями», отображающими сведения о потребителях коммунальных услуг: ФИО3, ФИО4, ФИО5, ФИО6». Таким образом, по мнению Управления Роскомнадзора, произошло неправомерное раскрытие Обществом персональных данных четырёх вышеуказанных субъектов. В силу п. 1 ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), и позволяющая идентифицировать субъекта, к которому относится данная информация. К персональным данным лица относят, прежде всего, его фамилию, имя, отчество, год, месяц, дату и место рождения, полный адрес регистрации, семейное, социальное, имущественное положение, образование, профессию, доходы, а также другую информацию, которая позволяет идентифицировать конкретное лицо. Управлением Роскомнадзора не было учтено, что e-mail (адреса электронной почты) и телефонные номера абонентов ООО ТНС энерго Пенза в рассматриваемой ситуации, без указания их владельцев, не являются персональной информацией, так как на основании данной информации невозможно идентифицировать субъектов персональных данных, то есть в данной ситуации e-mail (адреса электронной почты) и телефонные номера являются лишь средствами передачи информации и звонков. Адреса электронной почты (телефоны) потребителей Общества, которые попали в сеть Интернет, не позволяют отнести их к конкретному человеку (идентифицировать его), являются обезличенной информацией, так как представляют собой наборы букв и цифр, которые по смыслу статьи 3 Закона о персональных данных не относятся к определённому лицу и не являются персональными данными. Так, указанные в Справке, приложенной к акту проверки от 31.10.2022, электронные адреса: alena199416@mail.ru, ludmilka1975@mail.ru, kliuevdima@yandex.ru, denis-zaitsev-79@mail.ru не позволяют определить их принадлежность соответственно: ФИО3, ФИО6, ФИО4, ФИО5. То есть наличие в электронных адресах сочетания букв, совпадающих только с именем или с именем и фамилией физических лиц, исключает возможность идентификации физических лиц при отсутствии информации об отчестве и иной дополнительно информации (например, о времени рождения). Проверка (поиск) потребителей в информационной системе Общества «Расчеты и потребителями)» показала, что только в этой системе были найдены фамилии и имена 7 З-вых Денисов и 5 Клюевых ФИО7. Потребителей с именами «Алена» и «Людмила» - большое количество. Из данного обстоятельства следует, что вышеуказанные электронные адреса, попавшие в сеть Интернет, не были привязаны к вышеупомянутым потребителям, следовательно, по ним невозможно идентифицировать данных лиц. Доказательством вышеуказанного является и то обстоятельство, что само Управление Роскомнадзора не смог по данным электронным адресам идентифицировать и установить принадлежность указанных электронных адресов конкретным физическим лицам, а смог это сделать только после предоставления ему информационной системы персональных данных «Расчеты с потребителями» (ИПДн) «СТЭК», то есть после выгрузки специалистами Общества данных об электронных адресах с привязкой их к конкретным физическим лицам (фамилиями с именами и отчествами). Следовательно, сами по себе адреса электронной почты и номера телефонов, хотя и принадлежащие конкретным лицам, попавшие в сеть Интернет, не могут рассматриваться как персональная информация, доступная для использования посторонними лицами в ущерб её владельцам. Роскомнадзор ошибочно полагает, что для отнесения информации к персональной достаточно доказать факт принадлежности этой информации конкретному лицу. Следуя этой логике любой набор цифр нужно считать персональной информацией, если этот набор цифр образует год, число и месяц, так как большое количество людей рождается в каждый конкретный год, месяц и число. Кроме того, анализ информации, относящейся к персональной, показывает, что персональная информация, как правило, регистрируется в каком-либо уполномоченном государственном органе в установленном порядке. Однако адреса электронной почты и телефонные номера могут неоднократно изменяться по желанию их обладателей и не подлежат регистрации в каком-либо государственном органе, могут быть относимы к большому количеству людей, если не позволяют идентифицировать конкретного субъекта. Вышеизложенное подтверждается судебной практикой, а также ответом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций – Управления Роскомнадзора по Республике Северная Осетия – Алания на вопросы, размещённые на его официальном интернет-сайте в 2014 году, в том числе на вопрос об отнесении номера телефона к персональным сведениям (на сайтах других территориальных органов Роскомнадзора размещены вопросы от 2010 года и не содержат вопрос об отнесении номера телефона к персональным сведениям). Актом проверки от 31.10.2022 не установлена обработка Обществом персональных данных в каких-либо иных случаях, не предусмотренных ч. 1 ст. 6 Закона о персональных данных, а также обработка персональных данных, не совместимая с целями сбора персональных данных. Однако в акте и в предписании от 31.01.2022 указано на нарушение Обществом ч. 1 ст. 6 Закона о персональных данных в части предоставления неправомерного доступа к информационным системам персональных данных ООО ТНС энерго Пенза, повлекшего за собой распространение персональных данных клиентов Общества неограниченному кругу лиц путём размещения в сети Интернет. Так как часть 1 ст. 6 Закона о персональных данных устанавливает конкретные случаи, когда допускается обработка персональных данных, то Управление Роскомнадзора должно было указать случаи обработки Обществом персональных данных потребителей, не установленные законом, либо указать на случаи обработки персональных данных, не совместимые с целями сбора персональных данных. В акте от 31.10.2022 (пункт 12) указано на распространение следующего объема персональной информации: адрес электронной почты; номер телефона. Однако в решении от 12.12.2022 указано на факт распространения персональных данных в другом объеме, а именно: адрес электронной почты (стр. 2 абз. 8). Данное обстоятельство может свидетельствовать о косвенном признании самими Управлением Роскомнадзора того обстоятельства, что Управление в акте от 31.10.2022 незаконного вменило Обществу совершение правонарушения в части распространения персональных данных в объёме номер телефона. 2. Отсутствие вины Общества в распространении информации а также не установление Управлением Роскомнадзора времени, места и иных обстоятельств правонарушения, что также подтверждает отсутствие нарушения Обществом ч. 1 ст. 6 Закона о персональных данных. Из Справки Управления Роскомнадзора, приложенной к акту от 31.10.2022, следует вывод об отсутствии какой-либо вины Общества в распространении персональных данных, так как указано следующее: ООО «ТНС энерго Пенза» «на постоянной основе проводит действия по контролю состояния инфраструктуры и анализу аномальной активности на оборудовании периметра и серверах информационных сервисов». По поводу лиц, допустивших распространение персональных данных, содержащихся в информационной системе персональных данных (ИСПДн) «Расчеты с потребителями», Управление Роскомнадзора сделало вывод, что все действия осуществлялись неустановленными лицами, без ведома и согласия Общества (стр. 6 пункт 2 Справки). В акте от 31.10.2022 Управление Роскомнадзора не установил, в какой момент (время) Общество совершило правонарушение путём предоставления неправомерного доступа неограниченному кругу лиц к персональным данным потребителей. Причиной распространения персональных данных потребителей услуг, по мнению Управления Роскомнадзора) (стр. 6 Справки) стала уязвимость электронного ресурса CMS Bitrix, принадлежащего ООО «Медиа Страйк» (оператор, зарегистрированный за № 52-14-000523). Между тем взаимоотношения между ООО ТНС энерго Пенза и ООО «Медиа Страйк» по поводу оказания услуг, указанных в акте от 31.10.2022, осуществляются с 2016 года на основании следующих договоров, заключаемых последовательно, после окончания действия предыдущего: - договор авторского заказа на сайт от 11.01.2016, - на период с 01.08.2016 по 28.02.2017 заключен договор на оказание услуг по сопровождению сайта от 01.08.2016; - на период с 01.03.2017 по 31.03.2021 заключен договор на оказание услуг по сопровождению сайта от 01.03.2017; -на период с 01.04.2021 по 31.03.2022 заключен договор возмездного оказания услуг от 25.06.2021; - на период с 01.04.2022 по 31.03.2023 заключен договор возмездного оказания услуг от 16.05.2022. Длительный период взаимодействия Общества и ООО «Медиа Страйк» подтверждает то, что до июля 2022 года какие-либо хакерские атаки не приводили ни к каким результатам, из чего следует отсутствие в деятельности Общества нарушений требований части 1 статьи 6 Закона о персональных данных, а именно, отсутствие предоставления Обществом неправомерного доступа неограниченному кругу лиц к информационным системам персональных данных своих потребителей. В решении от 12.12. 2022 Управление Роскомнадзора пришло к выводу, что за ООО «Медиа Страйк» ответственность должно нести ООО ТНС энерго Пенза, как лицо, привлекшее к исполнению своих функций другое лтцо, исходя из смысла Закона о персональных данных (стр. 4 абз. 5 решения), приведя в обоснование данной позиции ч. 5 ст. 6 Закона о персональных данных, согласно которой: «В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором». Однако в указанной части 5 ст. 6 Закона о персональных данных указано на порядок наступления ответственности перед субъектом персональных данных – отвечает оператор, который в порядке регресса может переложить её на виновного контрагента. Заявитель полагает, что данная система ответственности предусмотрена для случаев причинения вреда субъектам персональных данных, что в рассматриваемом случае не произошло, то есть никакого вреда в результате попадания адресов электронной почты и номеров телефонов в Интернет-сеть не наступило. Таким образом, акт от 31.10.2022 не соответствует п. 1 ч. 3 ст. 6 Закона о персональных данных, то есть является незаконным и нарушает права и интересы Общества, так как стал основанием для выдачи предписания об устранении несовершенного Обществом нарушения и возбуждения в отношении Общества производства об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ с целью привлечения Общества к административной ответственности. Оспариваемое предписание не содержит конкретных мероприятий (действий) по устранению выявленных нарушений, которые должно осуществить Общество. Предписание контролирующего органа, выданное по результатам проведения проверки, должно содержать чёткие формулировки относительно конкретных мероприятий и действий, которые должно исполнить контролируемое лицо для прекращения выявленного нарушения. Предписание от 31.10.2022 содержит констатацию факта выявления нарушения, а также срок, в течение которого Общество обязано устранить нарушение. Однако контролирующим органом не указано, каким образом Общество должно исполнить императивное предписание Управления Роскомнадзора (конкретные действия, которые Общество должно совершить для исполнения требований предписания). Таким образом, оспариваемое предписание не представляет из себя формальное требование об устранении нарушений закона без указания возможным способов его исполнения, что является недопустимым. Так как Управление Роскомнадзора пришло к выводу о том, что причиной распространения персональных данных потребителей коммунальных услуг стала уязвимость электронного ресурса CMS Bitrix, принадлежащего ООО «Медиа Страйк», то устранение выявленного нарушения потребует вмешательства в деятельность субъекта, владеющего электронным ресурсами, на которых были размещены сведения о потребителях Общества. Однако Общество не имеет права влиять на деятельность иных самостоятельных хозяйствующих субъектов. Указанная позиция также подтверждается многочисленной правоприменительной практикой (кассационное определение от 02.09.2022 № 88а-23088/2022 Первого кассационного суда общей юрисдикции, постановление Арбитражного суда Московского округа от 12.10.2022 по делу № А40-2115/2022, кассационное определение Седьмого кассационного суда общей юрисдикции от 12.10.2022 № 88а-15002/2022). 4. Выданное Управлением Роскомнадзора предписание от 3.20.2022 является неисполнимым со стороны ООО ТНС Энерго Пенза, что свидетельствует о его незаконности. В оспариваемом предписании от 31.20.2022 указано на то, что «данные о субъектах, размещенные в сети Интернет по адресам dumpforums.com, а также в Telegram-канале @dumpforumschat, совпадают с данными содержащимися в ИСПДн ООО ТНС энерго Пенза, а именно, в системе «расчеты с потребителями». Данное нарушение подтверждается скриншотами экрана системы «Расчеты с потребителями», отображающими сведения о клиентах: ФИО3, ФИО4, ФИО5, ФИО6». Указанным предписанием также установлен срок устранения нарушения – 31.01.2023. Однако контролирующим органом не учтено следующее. Данные клиентов Общества были размещены по вышеперечисленным адресам ввиду неправомерного доступа неустановленных лиц к электронным ресурсам ПАО ГК «ТНС энерго» (то есть хакерской атаке подвергся не интернет-сайт ООО ТНС энерго Пенза, а интернет-сайт ПАО ГК «ТНС энерго»). ООО ТНС энерго Пенза не владеет электронными ресурсами dumpforums.com, а также в Telegram-каналом @dumpforumschat, данные адреса не относятся к деятельности Общества, а принадлежат иным неизвестным Обществу лицам. Следовательно, Общество не имеет ни фактической, ни правовой возможности каким-либо образом удалить на вышеуказанных сторонних адресах данные отдельных лиц, которые являются потребителями Общества, и таким образом исполнить предписание Управления Роскомнадзора. В кассационном определении от 08.09.2021 № 81-КАД21-6-К8 Верховный Суд РФ указал следующее: «При этом требования, изложенные в предписании, должны быть исполнимы, предписание должно содержать конкретные указания, четкие формулировки относительно действий, которые необходимо совершить исполнителю в целях прекращения и устранения выявленного нарушения. Предписание не должно сводиться к формальному предъявлению определённых требований. Исполнимость предписания в таком случае является важным требованием к этому виду правового акта, поскольку предписание исходит от государственного органа, обладающего властными полномочиями, носит обязательный характер и для его исполнения устанавливается срок, за нарушение которого наступает административная ответственность. Исполнимость предписания следует понимать как наличие реальной возможности у лица, которому оно адресовано, устранить в указанный срок выявленное нарушение. В постановлении от 17.10.2022 от 17.10.2022 по делу № А60-11174/2022 Арбитражный суд Уральского округа пришёл к следующим выводам: «Исполнимость следует понимать как наличие реальной возможности у лица, привлекаемого к ответственности, устранить в указанный срок выявленное нарушение. Предписание должно быть выдано именно тому лицу, которое вправе и в состоянии принять меры, которые в нем указаны и которым допущены нарушения, на устранение которых предписание направлено (постановление Президиума Высшего Арбитражного Суда Российской Федерации от 13.03.2012 № 15331/11)». Таким образом, поскольку ООО ТНС энерго Пенза не имеет реальной возможности удалить размещённую на не принадлежащих Обществу электронных ресурсах информацию о потребителях, то и требования предписания от 31.190.2022 являются неисполнимыми, а предписание незаконным. Таким образом, выданное предписание не соответствует ст. 90 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», предусматривающей выдачу предписания в случае выявления при проведении контрольного (надзорного) мероприятия нарушений обязательных требований. Содержание предписания свидетельствует об отсутствии каких-либо нарушений со стороны Общества, так как в нём не содержатся конкретные мероприятия, которые нужно провести для устранения конкретных нарушений или последствий этих нарушений. В дополнении к заявлению (том 2 л. д. 40) заявитель привёл следующие доводы. В соответствии с пунктом 6 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29.06.2021 № 1046: «К отношениям, связанным с осуществлением федерального государственного контроля (надзора) за обработкой персональных данных, применяются положения Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом». Согласно пункту 39 указанного Положения: «Организация проведения внеплановых контрольных (надзорных) мероприятий осуществляется в соответствии с положениями статьи 66 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации». Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным пунктам 1, 3-6 части 1 и частью 3 статьи 57 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации». Частью 1 статьи 57 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» предусмотрены основания для проведения контрольных (надзорных) мероприятий, в том числе, наличие у контрольного (надзорного) органа сведений о причинении вреда (ущерба) или угрозе причинения вреда (ущерба) охраняемым законом ценностям… 25.07.2022 Федеральная служба про надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) в ходе мониторинга смети Интернет выявила факт распространения персональных данных клиентов ООО «ТНС энерго Пенза» (как указано в письме-запросе Росакомнадзора № 08-68858 от 25.07.23022), в связи с чем запросила у ООО «ТНС энерго Пенза» информацию о причинах, виновных лицах, допустивших распространение персональных данных клиентов ООО «ТНС энерго Пенза», и мерах, принятых Обществом по устранению доступа неопределенного круга лиц к персональным данным и недопущению подобного в будущем. ООО «ТНС энерго Пенза» письмом № 2/18982 от 11.08.2022 подробно ответило на указанный запрос Роскомнадзора, сообщив о всех обстоятельствах осуществления неправомерного доступа к электронному ресурсу ПАО ГК «ТНС энерго» (управляющей компании ООО «ТНС энерго Пенза» и веб-приложению phpMyAdmin, о лицах, допустивших неправомерный доступ к электронным ресурсам, а также о мерах, принятых ООО «ТНС энерго Пенза» к недопущению подобных инцидентов в будущем. В результате Роскомнадзор письмом № 08-74021 от 16.08.2022 направил ООО «ТНС энерго Пенза» требование о принятии мер по недопущению подобных инцидентов в дальнейшем и необходимости исполнения данного требования в срок, установленный ч. 4 ст. 20 Федерального закона «О персональных данных». 01.09.2022 письмом № 2/21049 ООО «ТН энерго Пенза» представило в адрес Роскомнадзора ответ об исполнении требования, а именно, о мерах, принятых ООО «ТНС энерго Пенза» по устранению доступа неопределенного круга лиц к персональным данным клиентов Общества, а также недопущению подобных инцидентов в будущем. Таким образом, с учетом вышеуказанных правовых норм и содержания переписки между Роскомнадзором и ООО «ТНС энерго Пенза» имеются все основания считать, что в связи с выявлением 25.07.2022 Роскомнадзором факта распространения персональных данных клиентов ООО «ТНС энерго Пенза» в объеме – адрес электронной почты, Роскомнадзор провел мероприятие государственного контроля (надзора) – проверку, по результатам которой выдал требование об устранении выявленного нарушения, которое было исполнено ООО «ТНС энерго Пенза». Однако позднее, Роскомнадзору было дано поручение Заместителя Председателя Правительства РФ ФИО8 от 12.10.2022 № ДЧ-П10-17250 (что следует из текста решения Управления Роскомнадзора по Пензенской области о проведении внеплановой документарной проверки в отношении ООО ТНС энерго Пенза» от 14.10.2022 и текстов иных документов данного органа), в соответствии с которым территориальный орган Роскомнадзора – Управление Роскомнадзора по Пензенской области назначило и провело внеплановую документарную проверку по факту предоставления неправомерного доступа к информационной система персональных данных (ИСПДн) «Расчеты с потребителями», повлекшее за собой распространение персональных данных потребителей коммунальной услуги ООО «ТНС энерго Пенза» неограниченному кругу лиц путем размещения в сети Интернет по адресам dumpforums.com, а также в Telegram-канале @dumpforumschat. Данная проверка является незаконной силу следующего: Согласно пункту 4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228: «Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет свою деятельность непосредственно и через свои территориальные органы во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, общественными объединениями и иными организациями». Таким образом, одним и тем же органом Роскомнадзором (непосредственно и через свой территориальный орган – Управление Роскомнадзора по Пензенской области) были проведены две проверки одного и того же случая распространения персональных данных клиентов ООО «ТНС энерго Пенза». Пункт 5 части 1 статьи 3 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» предусматривает следующий принцип защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля: «недопустимость проводимых в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора), органами муниципального контроля проверок исполнения одних и тех же обязательных требований и требований, установленных муниципальными правовыми актами». Таким образом, указанный принцип предусматривает запрет проведения проверок одних и тех же обстоятельств и требований разными органами, что предполагает недопустимость проведения проверок одних и тех же обстоятельств и требований одним и тем же органом. Из других правовых норм также не следует право Роскомнадзора неоднократно проводить проверки одних и тех же обстоятельств (фактов). Исходя из вышеизложенного ООО «ТНС энерго Пенза» считает, что повторная проверка, проведенная Управлением Роскомнадзора по Пензенской области, является незаконной, соответственно, акт данной проверки и выданное на его основе предписание – недействительными. Недействительность предписания от 31.10.2022 № П-58/1/65-нд/1/4, выданного Управлением Роскомнадзора по Пензенской области, подтверждается его формальным характером, так как оно было выдано после выполнения ООО «ТНС энерго Пенза» требований Роскомнадзора об устранении доступа неопределенного круга лиц к персональным данным клиентов Общества и принятии мер по недопущению подобных инцидентов в будущем, то есть предписание было выдано об устранении того, что уже было устранено ООО «ТНС энерго Пенза» и принятии тех мер, которые уже были приняты ООО «ТНС энерго Пенза». 28.04.2023 Общество представило возражения на отзыв Роскомнадзора (том 3 л. д. 32), в котором привело следующие доводы. Третье лицо – Федеральная службы по надзору в сфере с вязи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) представило свой отзыв, в котором содержится утверждение о том, что проверка, осуществленная Роскомнадзором в связи с мониторингом сети Интернет и выявлением факта распространения персональных данных клиентов ООО «ТНС энерго Пенза» осуществлялась Роскомнадзором не в рамках Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», а в рамках Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.06.2009 № 228, в связи с чем «на указанные действия Роскомнадзора по направлению требования положения Федерального закона № 248-ФЗ не распространяются и не являются контрольными (надзорными) мероприятиями в рамках федерального государственного контроля (надзора) за обработкой персональных данных». ООО «ТНС энерго Пенза» считает, что данное утверждение Рокомнадзора не соответствует действующему законодательству РФ, противоречит принципам защиты прав юридических лиц при осуществлении государственного контроля (надзора). В Федеральном законе № 248-ФЗ содержится конкретный перечень видов деятельности, которые не относятся к государственному контролю (ч. 3 ст. 1 Закона № 248-ФЗ). Это – 1) Мероприятия по проверке заявлений и сообщений о преступлениях и происшествиях, разрешение которых отнесено компетенции органов внутренних дел и иных органов дознания; 2) оперативно-розыскная деятельность, дознание и предварительное следствие; 3) производство и исполнение постановлений по делам об административных правонарушениях; 4) рассмотрение дел о нарушении законодательства о рекламе; 5) проверка устранения обстоятельств, послуживших основанием для назначения административного наказания в виде административного приостановления деятельности; 6) деятельность судов, деятельность по обеспечению установленного порядка деятельности судов и деятельность по исполнению судебных актов, актов других органов и должностных лиц; 7) деятельность органов прокуратуры по осуществлению прокурорского надзора; 8) расследование причин возникновения аварий, несчастных случаев на производстве, профессиональных заболеваний, инфекционных и массовых неинфекционных заболеваний (отравлений, поражений) людей, животных и растений, причинения вреда (ущерба) окружающей среде имуществу граждан и организаций, государственному и муниципальному имуществу; 9) деятельность органов внешней разведки Российской Федерации; 10) деятельность органов государственной охраны; 11) деятельность органов федеральной службы безопасности; 12) деятельность федерального органа исполнительной власти в сфере мобилизационной подготовки и мобилизации Российской Федерации. Согласно ст. 2 Закона № 248-ФЗ его положения не применяются к организации и осуществлению: часть 3: 1) государственного контроля (надзора) в пунктах пропуска через Государственную границу Российской Федерации, осуществляемого в соответствии с порядком, установленным Правительством Российской Федерации, если иное регулирование не установлено федеральным законом; 2) государственного контроля за соблюдением российскими участникам внешнеэкономической деятельности законодательства Российской Федерации в области экспортного контроля; контроля за обеспечением противодействия иностранным техническим разведкам и технической защиты информации; государственного контроля в области обеспечения безопасности значимых объектов критическо информационный инфраструктуры Российской Федерации, лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации; лицензионного контроля за деятельностью по технической защите конфиденциальной информации; 3) государственного портового контроля; 4) контроля, непосредственно связанного с обеспечением обороны, государственного контроля за деятельностью в области военно-технического сотрудничества; 5) надзора за соблюдением участниками дорожного движения требований законодательства Российской Федерации о безопасности дородного движения; 6) государственного надзора за маломерными судами, используемыми в некоммерческих целях; 7) контроля за оборотом наркотических средств, психотропных веществ и их прекурсоров; 8) государственного финансового контроля и муниципального финансового контроля, контроля за использованием средств государственными корпорациями; 9) контроля (надзора) за деятельностью кредитных организаций и банковских групп, некредитных финансовых организаций, лиц, оказывающих профессиональные услуги на финансовом рынке, надзора в национальной платежной системе; 10) контроля и надзора а соблюдением эмитентами требований законодательства Российской Федерации об акционерных обществах и ценных бумагах, в сфере корпоративных отношений в акционерных обществах; 11) контроля за соблюдением требований законодательства Российской Федерации о противодействии неправомерному использованию инсайдерской информации и манипулированию рынком; 12) контроля и надзора в сфере правовой охраны и использования результатов интеллектуальной деятельности, созданных за счет бюджетных ассигнований федерального бюджета, а также контроля и надзора в установленной сфере деятельности в отношении государственных заказчиков и организаций – исполнителей государственных контрактов, предусматривающих проведение научно-исследовательских, опытно-конструкторских и технологических работ; 13) контроля за деятельностью специализированных некоммерческих организаций, которые осуществляют деятельность, направленную на обеспечение проведения капитального ремонта общего имущества в многоквартирных домах; 14) утратило силу; 15) контроля в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, контроля за соблюдением законодательства при организации и проведении закупок отдельными видами юридических лиц; 16) контроля за соблюдением законодательства о государственном оборонном заказе; 17) контроля за осуществлением иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства; 18) лесной охраны. Часть 5. Положения настоящего Федерального закона не применяются к организации и осуществлению следующих видов государственного контроля (надзора): 1) налоговый контроль; 2) валютный контроль; 3) таможенный контроль; 4) контроль в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения; 5) контроль за соблюдением требований антитеррористической защищенности объектов (территорий); 6) федеральный государственный контроль (надзор) за оборотом оружия (за исключением государственного контроля (надзора) за соблюдением лицензионных требований при осуществлении разработки, производства, испытания, установки, монтажа, технического обслуживания, ремонта, утилизации и реализации вооружения и военной техники, разработки, производства, испытания, хранения, реализации и утилизации боеприпасов, разработки, производства, испытания, ремонта и утилизации гражданского и служебного оружия и основных частей огнестрельного орудия, разработки, производства, испытания, утилизации патронов к гражданскому и служебному оружию и составных частей патронов; 7) федеральный государственный контроль (надзор) за соблюдением законодательства Российской Федерации в области частной детективной деятельности; 8) федеральный государственный контроль (надзор) за соблюдением законодательства Российской Федерации в области частной охранной деятельности; 9) федеральный государственный контроль (надзор) за деятельностью подразделений охраны юридических лиц с особыми уставными задачами и подразделений ведомственной охраны; 10) федеральный государственный контроль (надзор) за обеспечением безопасности объектов топливно-энергетического комплекса; 11) федеральный государственный контроль (надзор) в сфер миграции; 11.1) государственный контроль за деятельностью иностранных агентов; 12) федеральный государственный надзор за деятельностью некоммерческих организаций; 13) надзор и контроль за исполнением законодательства Российской Федерации о свободе совести, свободе вероисповедания и о религиозных объединениях; 14) федеральный государственный надзор за деятельностью саморегулируемых организаций; 15) государственный контроль за соблюдением антимонопольного законодательства; 16) контроль за соблюдением страхователем законодательства Российской Федерации об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний в части уплаты страховых взносов и выплат страхового обеспечения; 17) федеральный государственный надзор в области использования атомной энергии; федеральный государственный надзор в области ядерной и радиационной безопасности при разработке, изготовлении, испытании, эксплуатации, хранении и утилизации ядерного орудия и ядерных энергетических установок военного назначения; федеральный государственный надзор в области физической защиты ядерных материалов, ядерных установок и пунктов хранения ядерных материалов на ядерных объектах, подведомственных Министерству обороны Российской Федерации, а также на ядерных объектах, на которых осуществляется выполнение заказов в интересах обеспечения обороны Российской Федерации, государственный контроль за обеспечением безопасности транспортирования (перевозки) ядерных материалов, радиоактивных веществ и изделий из них, за исключением ядерных материалов, переданных в составе изделий Министерству обороны Российской Федерации; 18) лицензионный контроль деятельности организаций по использованию ядерных материалов радиоактивных веществ при проведении работ по использованию атомной энергии в оборонных целях, включая разработку, изготовление, испытание, транспортирование (перевозку), эксплуатацию, хранение, ликвидацию и утилизацию ядерного орудия и ядерных энергетических установок военного назначения; 19) контроль при ввозе в Российскую Федерацию из государств, не входящих в Евразийский экономический союз, и вывозе из Российской Федерации в государства, не входящие в Евразийский экономический союз, драгоценных металлов, драгоценных камней и сырьевых товаров, содержащих драгоценные металлы; 20) государственный контроль за соблюдением законодательства Российской Федерации в сфере средств массовой информации, осуществляемый без взаимодействия с контролируемым лицом; 21) государственный контроль за соблюдением законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию, при осуществлении такого контроля без взаимодействия с контролируемым лицом; 22) государственный контроль и надзор за обработкой персональных данных, осуществляемый без взаимодействия с контролируемым лицом; 23) государственный контроль в области связи, осуществляемый без взаимодействия с контролируемым лицом; 24) контроль за излучениями радиоэлектронных средств и (или) высокочастотных устройств (радиоконтроль). Чатсь 6. Организация и осуществление федерального государственного пожарного надзора, федерального государственного энергетического надзора, федерального государственного строительного надзора, федерального государственного метрологического контроля (надзора), федерального государственного надзора в области промышленной безопасности, федерального государственного санитарно-эпидемиологического контроля (надзора), федерального государственного ветеринарного контроля (надзора), федерального государственного контроля (надзора) в области обращения в животными на объектах федеральных органов исполнительной власти в сфере обороны, обеспечения безопасности деятельности войск национальной гвардии Российской Федерации, внутренних дел, внешней разведки, государственной охраны, исполнения наказаний, мобилизационной подготовки и мобилизации, на объектах, занимаемых войсками национальной гвардии Российской Федерации, федерального государственного карантинного фитосанитарного контроля (надзора) на объектах, занимаемых войсками национальной гвардии Российской Федерации, федерального государственного геологического контроля (надзора), федерального государственного экологического контроля (надзора) на объектах, подведомственных федеральному органу исполнительной власти в области обеспечения безопасности, государственного земельного надзора на земельных участках, предоставленных подведомственным федеральному органу исполнительной власти в области обеспечения безопасности организациям, на которых расположены объекты, используемые такими организациями, регулируются федеральными законами о вилах контроля, принимаемыми в соответствии с ними положениями о видах федерального государственного контроля (надзора) и (или) нормативными правовыми актами федеральных органов исполнительной власти. Организация и осуществление федерального государственного строительного надзора на объектах федеральных ядерных организаций регулируются федеральными законами о виде контроля и принимаемыми в соответствии с ними нормативными правовыми актам Государственной корпорации по атомной энергии «Росатом». Таким образом, Федеральный закон № 248-ФЗ содержит конкретный закрытый перечень видов государственного контроля, на который не распространяется действие Закона № 248-ФЗ. В области контроля соблюдения законодательства о персональных данных – под действие данного закона не попадает лишь государственный контроль и надзор за обработкой персональных данных, осуществляемый без взаимодействия с контролируемым лицом (пункт 22 части 5 ст. 2 Закона). Следовательно, утверждение Роскомнадзора о том, что на проведение им проверки в отношении ООО «ТНС энерго Пенза» требования Федерального закона № 248-ФЗ не распространяются, является ошибочным. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пензенской области (далее – ответчик, Управление Роскомнадзора, Управление) просит отказать в удовлетворении заявленных требований, представило отзыв (том 1 л. д. 85), в котором приводит следующие доводы. 1. В части отсутствия факта распространения персональной информации: Согласно п. 1 ст. 3 Закона о персональных данных персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Принимая во внимание порядок и условия получения адреса электронной почты, которые предполагают невозможность получения адреса электронной почты, идентичного ранее полученному другим пользователем, а также обладает свойствами неизменности и уникальности, адрес электронной почты будет являться уникальным идентификатором физического лица. В связи с чем адрес электронной почты является персональными данными, позволяющими идентифицировать конкретное физическое лицо, вне зависимости от указания в наименовании такого адреса электронной почты фамилии, имени или иных персональных данных. Отказ от полного изложения перечня информации, относящейся к персональным данным, в Законе от персональных данных является результатом внедрения общепризнанного подхода в части необходимости расширения границ персональных данных. С учетом указанного подхода при оценке той или иной информации на статус её относимости к персональным данным на первый план вышел идентифицирующий потенциал такой информации: для квалификации информации в качестве персональных данных не обязательно, чтобы её самой по себе было достаточно для идентификации индивида. Судебная практика закрепляет именно такой, широкий подход к персональным данным. Так, персональными данными признаются: - сведения о биографии, навыках, профессиональных характеристиках (определение Восьмого кассационного суда общей юрисдикции от 25.05.2020 № 88-4063/2020); -хэш-ID пользователя (решение Арбитражного суда г. Москвы от 25.05.2016 по делу № А40-51869/2016-145-449); -информация о соединениях и трафике конкретного абонента (решение Арбитражного суда г. Москвы от 25.05.20216 по делу № А40-51869/2-16-145-449); - данные, собираемые сервисами «Яндекс. Метрика» и «Google Аналитика» (решение Таганского районного суда г. Москвы от 19.12.2018 № 02-4261/2018); - номер мобильного телефона (кассационное определение Восьмого кассационного суда общей юрисдикции от 27.02.2020 № 88А4529/2020); -адрес электронной почты (апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626\2016) (Обосновывая свои выводы, суд сослался на то обстоятельство, что поскольку адрес электронной почты привязан к конкретному физическому лицу, он относится к категории персональных данных и, следовательно, использование адреса электронной почты является обработкой персональных данных применительно в п. 2, 3 ст. 3 Закона о персональных данных). Таким образом, единого перечня персональных данных не существует. В такой ситуации нужно исходить из риск-ориентированного полхода в пользу того, что информация является персональными данными. Управлением по результатам анализа представленных Обществом документов (письмо Общества от 27.10.2022 № 2/24841) установлено совпадение персональных данных, содержащихся в скомпрометированной базе данных, и ИСПДн Общества, а именно адресов электронной почты alena199416@mail.ru, kliuevdima@yandex.ru, denis-zaitsev-79@mail.ru, ludmilka1975@mail.ru. Кроме того, согласно информации, представленной в письме Общества от 27.10.2022 № 2/25841, указанные адреса электронной почты отнесены к физическим лицам. На основании изложенного в ходе проверки Управлением установлен факт принадлежности указанных адресов электронной почты к таким субъектам персональных данных, как ФИО3 Алена Александровна, ФИО4, ФИО5, ФИО6. Кроме того, в рамках подготовки к рассмотрению дела об административном правонарушении в отношении Общества по ч. 1 ст. 13.11 КоАП РФ Управлением был сделан запрос в адресно-справочный отдел УМВ УМВД России по Пензенской области с вопросом о том, сколько людей с ФИО и годами рождения зарегистрировано на территории Пензенской области (данные взяты исходя из адресов электронной почты и сопоставления ИСПДн «Расчеты с потребителями»). Из ответа УВМ УМВД России по Пензенской области следует, что на территории Пензенской области жителей с такими ФИО и годами рождения по 1 человеку. Таким образом, данных людей можно однозначно идентифицировать. В части отсутствия в решении от 12.12.2022 информации о том, что в скомпрометированной базе присутствуют номера телефонов, ответчик поясняет, что в решении рассматривались конкретные случаи по адресам электронной почты. В подтверждение того, что в скомпрометированной базе данных содержались и номера телефонов, прикладывается скриншот фрагмента скомпрометированной базы данных, где присутствуют номера телефонов. 2. В части отсутствия вины ООО ТНС энерго Пенза в распространении информации. Обществом в рамках проведения проверки был представлен договор возмездного оказания услуг № 14/22/У от 16.05.2022, заключенный между Обществом и ООО «Медиа Страйк» (далее – договор). В соответствии с п. 2.1.6 договора Заказчик поручает и оплачивает, а Исполнитель обязуется оказать Заказчику работы/услуги по технической поддержке и хостингу сайта, оболочек личных кабинетов физических лиц и юридических лиц, системы обработки обращений, сайтов сервисных услуг. Положениями п. 3 ст. 3 Закона о персональных данных установлено, что обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В связи с чем анализ предмета договора позволяет сделать выводы о том, что действия ООО «Медиа Страйк» по оказанию услуг по технической поддержке и хостингу сайта будут являться действиями по обработке персональных данных, а именно хранению персональных данных. Рассматриваемая ситуация будет являться поручением обработки персональных данных, подпадающим под действие ч. 3 ст. 6 Закона о персональных данных. Согласно ч. 5 ст. 6 Закона о персональных данных в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. На основании изложенного по смыслу Закона о персональных данных Общество, являясь оператором персональных данных, несет ответственность за нарушение порядка и условий обработки персональных данных, факт которого выявлен Управлением в ходе проверки. В части цитируемого отрывка справки в пункте 2 заявления в арбитражный суд ответчик сообщает о том, что данные цитаты вырваны из контекста Справки. Доводы, изложенные в данном разделе справки были переписаны в рамках полученного от Общества в ходе проверки пояснения. Раздел справки с данными цитатами начинается со следующих слов: «Вместе с тем в рамках внеплановой документарной проверки в отношении Оператора была затребована информация» и далее приводятся полученные пояснения. В данном случае это не выводы Управления, а пояснения от Общества, полученные в рамках проверки. Раздел заканчивается как раз выводами Управления: «На основании вышеизложенного Управление приходит к выводу о том, что факт принадлежности сведений, размещенный для продажи в сети Интернет по адресу dumpforums.com, а также в Telegram - канале @dumpforumschat, к пользователям коммунальной услуги Оператора, подтвержден. Согласно п. 3 ст. 3 Закона обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Условия, допускающие обработку персональных данных, закреплены в п. 1-11 ч. 1 ст. 6 Закона. Таким образом, в рамках проведения внепланово документарной проверки в отношении Оператора подтвержден факт неправомерного доступа неограниченного круга лиц к персональным данным потребителей коммунальной слуги ООО «ТНС энерго Пенза», что является нарушением требований ч. 1 ст.6 Закона». 3. В части даты совершения правонарушения и иных обстоятельств распространения информации. Датой совершения выявленного правонарушения является дата обнаружения факта утечки персональных данных потребителей услуг Роскомнадзором – 25.07.2022. Дата нарушения также указана в протокол об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ. По итогам рассмотрения которого 16.01.2023 мировым судьёй судебного участка № 8 Октябрьского района г. Пензы Общество признано виновным и привлечено к административной ответственности в виде штрафа в размере 65000 рублей (постановление вступил в законную силу 10.02.2023). В части взаимоотношений Общества и ООО «Медиа Страйк» Управлением указано в п. 2 отзыва. 4. В части отсутствия в предписании конкретных мероприятий по устранению выявленных правонарушений и неисполнимости предписания. Согласно п. 1 ч. 2 ст. 90 Закона № 248-ФЗ в случае выявления при проведении контрольного (надзорного) мероприятия нарушений обязательных требований контролируемым лицом контрольный (надзорный) орган в пределах полномочий, предусмотренных законодательством Российской Федерации, обязан выдать после оформления акта контрольного (надзорного) мероприятия контролируемому лицу предписание об устранении выявленных нарушений с указанием разумных сроков их устранения и (или) о проведении мероприятий по предотвращению причинения вреда (ущерба) охраняемым законом ценностям, а также других мероприятий, предусмотренных федеральным законом о виде контроля. Необходимо отметить, что действующее законодательство Российской Федерации в установленной сфере, в том числе положения Закона № 248-ФЗ не содержат требования об указании в предписании конкретных мероприятий (действий) по устранению выявленных нарушений, а равно способа их исполнения. Право самостоятельно выбрать способ устранения нарушения коррелируется со ст. 18.1 Закона о персональных данных, положения которой устанавливают, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Закрепление в предписании конкретных действий по устранению выявленных нарушений будет являться ограничением прав оператора на самостоятельное определение мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом о персональных данных. Таким образом, Общество вправе устранить выявленные нарушения любым законным способом. Кроме того, 25.01.2023 в Управление поступило письмо об исполнении предписания. 30.01.2023 в адрес Общества был направлен запрос о предоставлении документов, подтверждающих исполнение предписания. 03.02.2023 Обществом было направлено письмо с подтверждающими исполнение предписания документами. Таким образом, «неисполнимое предписание» было исполнено Обществом. Определением от 29.03..2023 (том 2 л. д. 35) арбитражный суд привлёк к участию в деле в качестве третьего лица, не заявляющего самостоятельные требования относительно предмета спора, Федеральную службу по надзору в сфере связи информационных технологий и массовых коммуникаций (далее – Роскомнадзор, третье лицо). В представленном отзыв (том 3 л. д. 8) Роскомнадзор проси отказать в удовлетворении заявленных требований и привёл в обоснование своей позиции следующие доводы. Согласно Положению о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор), утвержденному постановлением Правительства Российской Федерации от 16.03.2009 № 228, Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных. В соответствии с п. 6.5 Постановления Правительства Российской Федерации от 16.03.2009 № 228»О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» Роскомнадзор вправе в порядке и случаях, которые установлены законодательством Российской Федерации, применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений. Указанные полномочия реализуются в рамках взаимодействия с операторами, осуществляющими обработку персональных данных, направленными на соблюдение законодательства Российской Федерации в области персональных данных. Согласно п. 3 ч. 3 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О защите персональных данных» (далее – Федеральный закон) уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Роскомнадзор в ход мониторинга сети «Интернет» в рамках возложенных вышеуказанными положениями законодательства Российской Федерации полномочий был установлен факт неправомерного распространения базы данных, содержащих персональные данные клиентов ООО «ТНС энерго Пенза». В связи с чем Роскомнадзор в адрес ООО «ТНС энерго Пенза» был направлен запрос о представлении информации от 25.07.2022 № 08-68858 для подтверждения факта распространения базы данных, содержащей персональные данные клиентов ООО «ТНС энерго Пенза». Указанные меры реагирования направлены на своевременное пресечение выявленных нарушений законодательства Российской Федерации в области персональных данных, повлекшие за собой нарушение прав и законных интересов граждан Российской Федерации как субъектов персональных данных. На основании вышеизложенного Роскомнадзор сообщает, что требование Роскомнадзора от 16.08.2022 № 08-74021 в адрес ООО «ТНС энерго Пенза» было направлено в рамках осуществления полномочий Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных, а также не препятствовало проведению Управлением Роскомнадзора по Пензенской области проверки в отношении ООО «ТНС энерго Пенза» в рамках Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (далее – Федеральный закон № 248-ФЗ). При этом необходимо отметить, что на указанные действия Роскомнадзора по направлению требования положения Федерального закона № 248-ФЗ не распространяются и не являются контрольными (надзорными) мероприятиями в рамках федерального государственного контроля (надзора) за обработкой персональных данных. В соответствии с пунктом 3 постановления Правительства Российской Федерации от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля» (далее – постановление) установлены основания проведения внеплановых проверок. Согласно подпункту «б» пункта 3 Постановления контрольные (надзорные) мероприятия, проверки проводятся без согласования с органами прокуратуры исключительно по основаниям, перечисленным в указанной норме, в том числе по поручению Заместителя Председателя Правительства Российской Федерации, принятому после вступления в силу данного постановления и согласованному с Заместителем Председателя Правительства Российской Федерации – Руководителем Аппарата Правительства Российской Федерации. В Роскомнадзор поступило поручение Заместителя Председателя Правительства Российской Федерации ФИО8 от 12.10.2022 № ДЧ-П10-17250 об организации внеплановых проверок на предмет соблюдения операторами обязательных требований законодательства Российской Федерации в области персональных данных по фатам распространения баз данных, содержащих персональные данные, в отношении 74 операторов. ООО «ТНС энерго Пенза» входит в числе операторов, в отношении которым Роскомнадзором необходимо обеспечить проведение внеплановых проверок на предмет соблюдения операторами обязательных требований законодательства Российской Федерации в области персональных данных по фактам распространения баз данных, содержащих персональные данные. Во исполнение поручения Заместителя Председателя Правительства Российской Федерации ФИО8 от 12.10.2022 № ДЧ-П10-17250 Управлением Роскомнадзора по Пензенской области принято решение о проведении внеплановой документарной проверки в отношении ООО «ТНС энерго Пенза» от 14.10.2022 № 65-нд. Таким образом, в связи с поручением Заместителя Председателя Правительства Российской Федерации ФИО8 от 12.10.2022 № ДЧ-П10-14250, на основании пункта 3 части 1 статьи 57 Федерального закона № 248-ФЗ, подпункта «б» пункта 3 Постановления, решения Управления Роскомнадзора по Пензенской области о проведении внеплановой документарной проверки в отношении ООО «ТНС энерго Пенза» от 14.10.2022 № 65-нд проведена внеплановая документарная проверка по факту неправомерного доступа неограниченного круга лиц к персональным данным клиентов ООО «ТНС энерго Пенза». По результатам проведенной проверки Управление Роскомнадзора по Пензенской области пришло к выводу, что ООО «ТНС энерго Пенза» допущено нарушение требований ч. 1 ст. 6 Федерального закона в части предоставления неправомерного доступа к ИСПДн «Расчеты с потребителями», повлекшего за собой распространение персональных данных клиентов ООО «ТНС энерго Пенза» неограниченному кругу лиц путем размещения в сети «Интернет» по адресу https://t.me/dumpforums/31 и https://t.me/dumpforums/32. В соответствии с п. 1 ч. 2 ст. 90 Федерального закона № 248-ФЗ в случае выявления при проведении контрольного (надзорного) мероприятия нарушений обязательных требований контролируемым лицом контрольный (надзорный) орган в пределах полномочий, предусмотренных законодательством Российской Федерации, обязан выдать после оформления акта контрольного (надзорного) мероприятия контролируемому лицу предписание об устранении выявленных нарушений с указанием разумных сроков их устранения и (или) о проведении мероприятий по предотвращению причинения вреда (ущерба) охраняемым законом ценностям, а также других мероприятий, предусмотренных федеральным законом о виде контроля. Таким образом, в связи с выявленными нарушениями законодательства Российской Федерации в области персональных данных по результатам внеплановой документарной проверки в отношении ООО «ТНС энерго Пенза» Управлением Роскомнадзора по Пензенской области было выдано предписание № П-58/65-нд/-/1/4 на законных основаниях. Проведенная Управлением Роскомнадзора по Пензенской области внеплановая проверка в отношении ООО «ТНС энерго Пенза», а также выдача предписания об устранении выявленных в ходе проверки нарушений является законной и обоснованной в соответствии с Федеральным законом № 248-ФЗ. Исследовав, в соответствии со статьёй 71 Арбитражного процессуального кодекса Российской Федерации, представленные в дело доказательства, арбитражный суд установил следующие обстоятельства. 25.07.2022 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) направила Обществу запрос о предоставлении информации № 08-68858 (том 1 л. д. 109), указав следующее. В ходе мониторинга сети Интернет выявлен факт распространения базы данных, содержащих персональные данные клиентов ООО «ТНС энерго Пенза» (далее – Оператор) (скриншоты прилагаются). В результате анализа фрагмента базы данных было установлено, что указанная база данных содержит следующие персональные данные клиентов Оператора: адрес электронной почты. Роскомнадзор запросил следующую информацию: о причинах, повлекших распространение персональных данных клиентов Оператора; сведения о лицах, допустивших указанные действия, с указанием их Ф. И. О., должности; о мерах, принятых Оператором по устранению доступа неопределенного круга лиц к персональным данным клиентов Оператора и недопущению подобных инцидентов в будущем. Ответ на запрос дан Обществом Роскомнадзору в письме от 11.08.2022 № 2/18982 (том 1 л. д. 111), где, в частности, приведены следующие сведения. 02.07.2022 в 19 часов 52 минуты неустановленные лица из корыстных побуждений путем требования передачи имущества под угрозой распространения сведений, которые могут причинить существенный вред правам и законным интересам, в том числе ООО «ТНС энерго Пенза», осуществили неправомерный доступ к электронному ресурсу ПАО ГК «ТНС энерго» (осуществляет деятельность по управлению ООО «ТНС энерго Пенза») corp.tns-e/ru (далее – сайт, электронный ресурс) и веб-приложению phpMyAdmin. Затем указанные лица внесли изменения в структуру электронного ресурса, произвели затирание информации, копирование баз данных, а также выполнили дефейс сайта (замена страницы веб-сайта), закрепив на главной странице сайта требование следующего содержания: «C.A.S. & DumpForums Все базы Данных были экспортированы и вскоре, возможно, появятся на нашем форуме. У администраторов есть время до 07.07.2022 0:00, чтобы перевести ровно 5 ВТС на этот кошелек: … В противном случае все персональные Данные клиентов «ТНС энерго» будут выложены в общий Доступ. Telegram: @h014cas Telegranm:@dfrep»…. Все вышеуказанные действия осуществлялись неустановленными лицами, без ведома и согласия ООО «ТНС энерго Пенза». По информации, полученной от ООО «Медиа Страйк», осуществляющего администрирование электронных ресурсов Общества, являющегося владельцем серверов, на которых располагаются данные электронные ресурсы, несанкционированный доступ был зарегистрирован с нескольких IP-адресов. Предварительно установлено, что атака стала возможной из-за уязвимостей CMS Bitrix, которую своевременно не устранили администраторы электронного ресурса и не в полном объеме реализованных ООО «Медиа Страйк» мер по обеспечению безопасности персональных данных при их обработке. Сведения о проведённой хакерской атаке на информационную структуру ПАО ГК «ТНС энерго» - корпоративный сайт corp.tns.ru были немедленно переданы в Национальный Координационный центр по компьютерным инцидентам установленным порядком. В ГУ УВД России по г. Москве направлено обращение с просьбой привлечь к уголовной ответственности лиц, получивших неправомерный доступ к компьютерной информации ПАО ГК «ТНС энерго» и дочерних обществ. ООО «ТНС энерго Пенза» на постоянной основе проводятся действия по контролю состояния инфраструктуры и анализу аномальной активности на оборудовании периметра и серверах информационных сервисов. Нарушений в работе информационных сервисов не выявлено. Проведена проверка состояния системных логов и непрерывности их наполнения, серверов информационных систем ООО «ТНС энерго Пенза»: контроллеров домена, ПК «СТЕК энерго», СУБД 1С-Бухгалтерия, серверов приложения 1С-Предприятие, почтового сервера и сервера центра управления антивирусной защитой. Нелегитимных изменений в состоянии доменных учётных записей не обнаружено, групповые политики находятся в неизменном состоянии. Запросов на аутентификацию, отклонённых по причинам, свидетельствующим о возможном подборе паролей, не обнаружено. Персональные данные клиентов ООО «ТНС энерго Пенза» хранятся на серверах на внутреннем периметре информационной инфраструктуры. В настоящее время рассматривается целесообразность привлечения сторонней организации (контрагента) для проведения аудита информационной безопасности с целью получения независимой оценки уровня обеспечения информационной безопасности ИТ-инфраструктуры и информационных активов, выявление уязвимостей информационной инфраструктуры, повышение эффективности информационной безопасности ИТ-инфраструктуры и информационных активов ООО «ТНС энерго Пенза». Роскомнадзор направил Обществу требование о недопущении нарушения законодательства Российской Федерации в области персональных данных от 16.08.2022 № 08-74021 (том 1 л. д. 116), в котором указал следующее. Роскомнадзор рассмотрел ответ ООО «ТНС энерго Пенза» от 11.08.2022 на запрос о предоставлении информации от 25.07.2022 и сообщает следующее. В результате неправомерного распространения персональных данных клиентов Общества нарушены права и законные интересы субъектов персональных данных. Исходя из вышеизложенного, на основании ч. 3 ст. 23 Закона о персональных данных требуем принять меры по недопущению подобных инцидентов в дальнейшем. О результатах исполнения требования необходимо проинформировать Роскомнадзор в срок, установленный ч. 4 ст. 20 Федерального закона. Обращаем внимание, что в случае невыполнения оператором в сроки, установленные законодательством Российской Федерации, требования уполномоченного органа по защите прав субъектов персональных данных, требования уполномоченного органа по защите прав субъектов персональных данных, предусматривается административная ответственность в соответствии с ч. 5 ст. 13.11 КоАП РФ. На указанное требование Общество ответило в письме от 01.092022 № 2/21049 (том 1 л. д. 118) следующего содержания. Сведения о проведенной хакерской атаке на информационную структуру ООО «ТНС энерго Пенза», корпоративный интернет-сайт corp.tns-e.ru были незамедлительно переданы в Национальный Координационный центр по компьютерным инцидентам в установленном порядке. В ГУ МВД России по Г, Москве направлено обращение от 26.07.2022 № 01-08-7199 с просьбой привлечь к уголовной ответственности лиц, получивших неправомерный доступ к компьютерной информации ООО «ТНС энерго Пенза», вымогавших денежные средства под угрозой распространения в сети Интернет персональных данных клиентов, в действиях которых усматриваются признаки преступлений, предусмотренных ст. ст. 137, 163, 272 УК РФ. ООО «ТНС энерго Пенза» на постоянной основе проводятся действия по контролю состояния инфраструктуры и анализу аномальной активности на оборудовании периметра и серверах критичных сервисов. Нарушений в работе критичных сервисов не выявлено. Проведена проверка состояния системных логов и непрерывности их наполнения серверов критичных систем ООО «ТНС Энерго Пенза»: контроллеров домена, кластера СУБД 1С-Предприятия, серверов приложений 1С-Предприятия, почтового сервера, сервера центра сертификации и сервера центра управления антивирусной защитой. В Обществе проведена внеочередная смена всех паролей пользователей и администраторов, реализуется закупка межсетевого экрана отечественного производителя с функцией средства обнаружения вторжений, согласовывается регламент взаимодействия с Национальным Координационным центром по компьютерным инцидентам. В настоящее время рассматривается целесообразность привлечения сторонней организации (контрагента) для проведения аудита информационной безопасности ИТ- инфраструктуры и информационных активов, выявление уязвимостей информационной инфраструктуры, повышение эффективности информационной безопасности ИТ- инфраструктуры и информационных активов ООО «ТНС энерго Пенза». У подрядчика ООО «Медиа Страйк» проведены следующие мероприятия: - в веб-интерфейс системы управления СУБД MySQL разрешены доступы только с IP- адресов из белого списка, на данный момент доступ имеют работники ООО «Медиа Страйк», ООО «Стек-ИТ» и уполномоченные работники ООО ТНС энерго Пенза»; - изменены пароли у всех пользователей MySQL; -удалены не используемые пользователи MySQL; - в веб-интерфейс GitLab разрешены доступы только с IP-адресов из белого списка, сейчас доступ имеют работники ООО «Медиа Страйк» и ООО «Стек-ИТ»; - в административные панели всех сайтов, работающих на 1 С-Битрикс разрешены доступы только с IP-адресов из белого списка; - изменены доступы к RESTAPI ЛК, RESTAPI Системы обработки обращений; - обновлен и перенесен сайт corp.tns-e.ru; - изменены пароли администраторов порталов, работающих с 1 С-Битрикс; - включена 2-х факторная система аутентификации на корпоративном портале и сайтах услуг; - отключены все прочие учетные записи для доступа к панели администрирования на всех порталах. В Обществе нелегитимных изменений в состоянии доменных учётных записей не обнаружено, групповые политики находятся в неизменном состоянии. Запросов на аутентификацию, отклонённых по причинам, свидетельствующим о возможном подборе паролей, не обнаружено. 14.10.2022 руководитель Управления Роскомнадзора принял решение № 65-нд (том 1 л. д. 92) о проведении внеплановой документарной проверки в отношении общества с ограниченной ответственностью «ТНС энерго Пенза». Решение принято на основании пункта 3 части 1 статьи 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», подпункта «б» пункта 3 постановления Правительства Российской Федерации от 10.034. № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля» в связи с поручением Заместителя Председателя Правительства Российской Федерации ФИО8 от 12.10.2022 № ДЧ-П10-17250. Внеплановая документарная проверка проводится в рамках федерального государственного контроля (надзора) за обработкой персональных данных. Документарная проверка проводится в отношении: - деятельности и результатов деятельности операторов и третьих лиц, действующих по поручению, по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации; - результатов деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных», и принятых оператором мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных». Контролируемое лицо – общество с ограниченной ответственностью «ТНС энерго Пенза». Предметом проверки является соблюдение Оператором обязательных требований в области персональных данных, установленных: Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ч. 1, 3 ст. 6, ст. 7, ч. 1-4 ст. 9, ч. 1, 2, 10, 14 т. 10.1, ч. 5 ст. 18, ч. 1, 2ст. 18.1). Сроки проведения проверки – с 18.10.2022 09 час. 00 мин., сроком 10 рабочих дней. Письмом от 18.10.2022 № 6009-05/58 (том 1 л. д. 130) ответчик истребовал у заявителя документы и сведения (перечень – приложение № 1 к требованию – том 1 л. д. 132). Общество представило в Управление документы и сведения с письмами от 20.10.2022 № 2/25264 (том 1 л. д. 134) и № 2/25368 (том 1 л. д. 139). Письмом от 25.10.2022 № 6132-05/58 (том 1 л. д. 144) ответчик запросил у заявителя дополнительные документы, которые Общество представило с письмом от 27.10.2022 № 2/25841 (том 1 л. д. 146). 31.10.2022 должностными лицами Управления Роскомнадзора составлен акт внеплановой документарной проверки № А-58/1/65-нд/46 (том 1 л. д. 95). В пункте 12 акта отражены следующие обстоятельства. ООО «ТНС энерго Пенза» допущено нарушение требований части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части предоставления неправомерного доступа к ИСПДн ООО «ТНС энерго Пенза», повлекшего за собой распространение персональных данных пользователей услуг неограниченному кругу лиц путем размещения в сети Интернет по адресу dumpforums.com, а также в Тelegram - канале @dumpforumschat (далее – База данных). В сети Интернет по указанным адресам обнаружена база данных пользователей услуг ООО «ТНС энерго Пенза». По результатам анализа фрагментов указанной базы данных пользователей услуг установлено наличие персональных данных в объеме: адрес электронной почты; номер телефона. В рамках проверки ООО «ТНС энерго Пенза» представлен Перечь информационных систем ПДн и обрабатываемых в них данных. Согласно вышеуказанному перечню информационных систем персональные данные пользователей услуг обрабатываются в ИСПДн ООО «ТНС энерго Пенза» «Расчеты с потребителями». По результатам сопоставления информации, размещенной в сети интернет по адресам dumpforums.com, а также в Тelegram - канале @dumpforumschat, и представленных ООО «ТНС энерго Пенза» скриншотов экрана ИСПДн «Расчеты с потребителями» в рамках внеплановой документарной проверки в отношении ООО «ТНС энерго Пенза» было выявлено следующее. Данные о субъектах, размещенные в сети Интернет по адресам dumpforums.com, а также в Тelegram - канале @dumpforumschat, совпадают с данными, содержащимися в ИСПДн ООО «ТНС энерго Пенза», а именно в системе «Расчеты с потребителями». Данное нарушение подтверждается скриншотами экрана системы «Расчеты с потребителями», отображающими сведения о клиентах: ФИО3, ФИО4, ФИО5, ФИО6. Дополнением к акту проверки является Справка о результатах документарной проверки ООО «ТНС энерго Пенза» на соответствие обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (том 1 л. д. 18-22; далее - Справка). В Справке приведены, в частности, следующие сведения. Роскомнадзором в ходе мониторинга сети «Интернет» выявлены признаки распространения неограниченному кругу лиц персональных данных потребителей коммунальной услуги Оператора по адресу dumpforums.com, а также в Telegram-канале @dumpforumschat (далее – База данных). По результатам анализа фрагментов базы данных пользователей услуг установлено наличие персональных данных в объеме: e-mail; номер телефона. В рамках проверка Оператором представлен Перечень персональных данных, обрабатываемых ООО «ТНС энерго Пенза» в информационных системах персональных данных и без использования средств автоматизации, утвержденный приказом заместителя генерального директора ПАО ГК «ТНС энерго» - управляющим директором ООО «ТНС энерго Пенза» от 12.10.2020 № 91.6 Согласно вышеуказанному перечню персональных данных Оператором для обработки персональных данных такой категории субъектов, как потребители услуг, используется ИСПДн «Расчеты с потребителями». Источником сбора персональных данных в ИСПДн «Расчеты с потребителями» является заключением договоров с физическими и юридическими лицами –контрагентами по договору (создание записи в справочнике контрагентов и договоров учетной системе бухгалтерского учета), открытие лицевого счета физическому и юридическому лицу - потребителю электроэнергии (создание записи лицевого счета потребителей физического лица и юридического лица в автоматизированных системах расчетов с потребителями). Персональные данные из ИСПДн «Расчеты с потребителями» передаются в адрес АО «Формс Технолоджи» на основании договора на оказание услуг от 1304.2022 № б/н, предметом которого является изготовление (выпуск) и доставка счетов-извещений (указанный договор – том 2 л. д. 58-81). Персональный данные из ИСПДН «Расчеты с потребителями» передаются в адрес ООО «Медия Страйк» на основании договора № 14/22/У от 16.05.2022 возмездного оказания услуг по обработке официального сайта, личного кабинета физических лиц, базы знаний мобильного приложения для клиентов-физических лиц под определенные версии системы Android iOS, навыка для голосового ассистента Яндекс.Алиса в части развития и продвижения электронной квитанции и иных диджитал сервисов, работы/услуги по созданию новых функций системы обработки обращений, работы/услуги по доработке разделов для юридических лиц на сайте, работы/услуги по созданию новых функций автоматизированной обработки, поступающих от клиентов документов, работы/ услуги по наполнению официального сайта текстовой информацией, документацией, новостями, работы/ услуги по технической поддержке и хостингу сайта, оболочек личного кабинета физических лиц и юридических лиц, системы обработки обращений, сайтов сервисных услуг, работы/услуги по участию в решении проблем нагрузки и тестирования, вводы новых решений, а также доработок биллинга совместно с сотрудниками Заказчика и/или сотрудниками компании ООО «Стек-ИТ» и/или других контрагентов Заказчика, действующих по его распоряжению, работы/услуги по консультированию сотрудников Заказчика по работе в системе обработки обращений (указанный договор – том 2 л. д. 141-160, том 3 л. д. 103). Персональные данные из ИСПДн «Расчеты с потребителями» передаются в адрес ООО «МС-Контакт» на основании договора № 07/21/КЦ от 09.02.2021 на оказание услуг Сall-центра (указанный договор – том 2 л. д. 82-97). Персональные данные из ИСПДн «Расчеты с потребителями» передаются в адрес ООО «А 3» на основании договора № 085ЭПР/2015 от 07.09.2015 (указанный договор – том 2 л. д. 98-140). Предметом договора является организация разработки и поддержки сервиса по обеспечению безналичных переводов денежных средств в пользу ООО «ТНС энерго Пенза», совершаемых физическими лицами по их распоряжению в рамках запросов, сформированных на сайте ООО «ТНС энерго Пенза» и перенаправленных ООО «А 3», и обеспечению информационно-технологического взаимодействия в связи с осуществлением указанных переводов. Персональные данных из ИСПДн «Расчеты с потребителями» передаются в адрес ООО «А 3» на основании договора № 03-ТНС/16 от 28.01.2016. Предметом договора является обмен информацией о подлежащих оплате физическими лицами услугах в пользу ООО «ТНС энерго Пенза» и осуществляемых по их распоряжению переводах денежных средств, совершаемых через каналы обслуживания плательщиков. Персональные данные из ИСПД «Расчеты с потребителями» передаются в адрес ПАО «Сбербанк», ПАО «Кузнецкий банк» для перевода денежных средств от физических лиц в пользу ООО «ТНС энерго Пенза» в качестве оплаты за электроэнергию. Далее в Справке приведены данные, полученные в результате осмотра ИСПДн «Расчеты с потребителями» по четырём субъектам (том 1 л. д. 100-103). Кроме того, в Справке изложена следующая информация. В ходе анализа представленной Оператором информации установлено: 1) О причинах, повлекших распространение персональных данных потребителей услуг. Предварительно установлено, что атака стала возможной из-за уязвимостей CMS Bitrix, которую своевременно не устранили администраторы электронного ресурса и не в полном объеме реализованных ООО «Медиа Страйк» мер по обеспечению безопасности персональных данных при их обработке. 2) Сведения о лицах, допустивших распространение персональных данных, содержащихся в ИСПДн. Все указанные действия осуществлялись неустановленными лицами без ведома и согласия ООО «ТНС энерго Пенза». По информации, полученной от ООО «Медиа Страйк», осуществляющего администрирование электронных ресурсов ОО «ТНС энерго Пенза», являющего владельцем серверов, на которых располагаются данные электронные ресурсы, несанкционированный доступ был зарегистрирован с нескольких IP-адресов, в том числе с 2178.138.209.152, 213.226.123.241, 185.248.191.71. Фактически данные сервера ООО «Медиа Страйк» располагаются в Московском дата-центре, а DNS-сервер расположен на площадке ООО «Селектел» в г. Санкт-Петербург. 3) Меры, принятые ООО «ТНС энерго Пенза» по устранению доступа неопределенного круга лиц к персональным данным пользователей услуг ООО «ТНС энерго Пенза» и недопущению подобных инцидентов. Сведения о проведенной хакерской атаке на информационную структуру ПАО ГК «ТНС энерго» - корпоративный сайт corp.tns-e.ru были немедленно переданы управляющей организацией в Национальный Координационный центр по компьютерным инцидентам установленным порядком. В ГУ МВД России по г. Москве направлено обращение (исх. от 26.07.2022 № 01-08-7199) с просьбой привлечь к уголовной ответственности лиц, получивших неправомерный доступ к компьютерной информации, вымогавших денежные средства под угрозой распространения в сети Интернет персональных данных клиентов, в действиях которых усматриваются признаки преступлений, предусмотренных ст. 137, 163. 272 УК РФ (зарегистрировано в КУСП за № 83285 от 27.07.2022). ООО «ТНС энерго Пенза» на постоянной основе проводятся действия по контролю состояния инфраструктуры и анализу аномальной активности на оборудовании периметра и серверах информационных сервисов. Нарушений в работе информационных сервисов не выявлено. Проведена проверка состояния системных догов и непрерывности их наполнения, серверов информационных систем ООО «ТНС энерго Пенза»: контроллеров домена, ПК «СТЕК энерго», СУБД 1С-Бухгалтерия, серверов приложений 1С-Предприятие, почтового сервера, и сервера центра управления антивирусной защитой. Нелегитимных изменений в состоянии доменных учётных записей не обнаружено, групповые политики находятся в неизменном состоянии. Запросов на аутентификацию, отклонённых по причинам, свидетельствующих о возможном подборе паролей, не обнаружено. Персональные данные потребителей коммунальной услуги ООО «ТНС энерго Пенза» хранятся на серверах на внутреннем периметре информационной инфраструктуры. В настоящее время рассматривается целесообразность привлечения сторонней организации (контрагента) для проведения аудита информационной безопасности с целью получения\ независимой оценки уровня обеспечения информационной безопасности ИТ-инфраструктуры и информационных активов, выявление уязвимостей информационной инфраструктуры, повышение эффективности информационной безопасности ИТ-инфраструктуры и информационных активов ООО «ТНС энерго Пенза». У подрядчика ООО «Медиа Страйк» проведены следующие мероприятия: - в веб-интерфейс системы управления СУБД MySQL разрешены доступы только с IP- адресов из белого списка, на данный момент доступ имеют работники ООО «Медиа Страйк», ООО «Стек-ИТ» и дочерние общества Группы компаний; - изменены пароли у всех пользователей MySQL; - изменены привелегии каждого пользователя – у них остались только доступы, необходимые им для работы; - удалены не используемые пользователи MySQL; - в веб-интерфейс GitLab разрешены доступы только с IP-адресов из белого списка, сейчас доступ имею работники ООО «Медиа Страйк» и ООО «Стек-ИТ»; - в административные панели всех сайтов, работающих на 1С-Битрикс, разрешены доступы только с IP-адресов из белого списка; - изменены доступы к RESTAPI ЛК, RESTAPI Системы обработки обращений; - обновлен и перенесен сайт corp.tns-e.ru; - изменены пароли администраторов порталов, работающих с 1С-Битрикс; - включена 2-х факторная система аутентификации на корпоративном портале и сайтах услуг; - отключены прочие учетные записи для доступа к панели администрирования на всех порталах. На основании вышеизложенного Управление приходит к выводу о том, что факт принадлежности сведений, размещенных для продажи в сети Интернет по адресу dumpforums.com, а также в Telegram-канале @dumpforumschat, к пользователям коммунальной услуги Оператора, подтвержден. Согласно п. 3 ст. 3 Закона обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Условия, допускающие обработку персональных данных, закреплены в п. 1-11 ч. 1 ст. 6 Закона. Таким образом, в рамках проведения внеплановой документарной проверки в отношении Оператора подтвержден факт неправомерного доступа неограниченного круга лиц к персональным данным потребителей коммунальной услуги ООО «ТНС энерго Пенза», что является нарушением требований ч. 1 ст. 6 Закона. По результатам внеплановой документарной проверки за соответствие обработки персональных данных Оператором требованиям законодательства Российской Федерации в области персональных данных выявлены следующие нарушения: ООО «ТНС энерго Пенза» допущено нарушение требований ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части предоставления неправомерного доступа к ИСПДн «Расчеты с потребителями», повлекшего за собой распространение персональных данных потребителей коммунальной услуги ООО «ТНС энерго Пенза» неограниченному кругу лиц путем размещения в сети Интернет по адресу dumpforums.com, а также в Telegram-канале @dumpforumschat. По результатам анализа фрагментов указанной базы данных потребителей коммунальной слуги установлено наличие персональных данных в объеме: Номер телефона; адрес электронной почты. В рамках проверки Оператором представлен Перечень персональных данных, обрабатываемых ООО «ТНС энерго Пенза» в информационных системах персональных данных и без использования средств автоматизации, утвержденный приказом заместителя генерального директора ПАО ГК «ТНС энерго» - управляющим директором ООО «ТНС энерго Пенза» от 12.10.2020 № 91.6. Согласно вышеуказанному перечню персональных данных Оператором для обработки персональных данных такой категории субъектов, как потребители коммунальной услуги, используется ИСПДн «Расчеты с потребителями». По результатам сопоставления информации, размещенной в сети Интернет по адресу dumpforums.com, а также в Telegram-канале @dumpforumschat, и осмотра ИСПДн «Расчеты с потребителями» (что подтверждается требованием о предоставлении информации в рамках внеплановой документарной проверки от 25.10.2022 № 6132-5/58, и предоставленных Оператором скриншотов ИСПДн «Расчеты с потребителями») было выявлено следующее. Данные о субъектах, размещенные в сети Интернет по адресу dumpforums.com, а также в Telegram-канале @dumpforumschat, совпадают с данными, содержащимися в ИСПДн «Расчеты с потребителями». Данное нарушение подтверждается снимками с экрана ИСПДн «Расчеты с потребителями», отображающими сведения о потребителях коммунальных услуг: ФИО3, ФИО4, ФИО5, ФИО6. Также 31.10.2022 Управление Роскомнадзора выдало ООО «ТНС энерго Пенза предписание об устранении выявленного нарушения № П-58/1/65-нд/1-/1/4 (том 1 л. д. 15). В предписании изложено содержание нарушения: ООО «ТНС энерго Пенза» допущено нарушение требований части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части предоставления неправомерного доступа к информационной системе персональных данных (ИСПДн) ООО «ТНС энерго Пенза», повлекшего за собой распространение персональных данных пользователей услуг ООО «ТНС энерго Пенза» неограниченному кругу лиц путем размещения в сети Интернет по адресу dumpforums.com, а также в Тelegram - канале @dumpforumschat. По результатам сопоставления информации, размещенной в сети интернет по адресу dumpforums.com, а также в Тelegram - канале @dumpforumschat и осмотра ИСПДн «Расчеты с потребителями», представленными в рамках внеплановой документарной проверки в отношении ООО «ТНС энерго Пенза» от 27.10.2022), было выявлено следующее. Данные о субъектах, размещенные в сети Интернет по адресам dumpforums.com, а также в Тelegram - канале @dumpforumschat, совпадают с данными, содержащимися в ИСПДн ООО «ТНС энерго Пенза», а именно в системе «Расчеты с потребителями» Данное нарушение подтверждается скриншотами экрана системы «Расчеты с потребителями», отображающими сведения о клиентах: ФИО3, ФИО4, ФИО5, ФИО6. Срок устранение нарушения 31.01.2023. Руководителем Управления Роскомнадзора рассмотрена жалоба Общества на акт проверки и предписание от 31.10.2022 и вынесено решение от 12.12.2022 (том 1 л. д. 29), которым жалоба оставлена без удовлетворения. 30.12.2022 Общество обратилось в арбитражный суд с заявлением о признании недействительными акта проверки и предписания от 31.10.2022. В силу части 1 статьи 198 Арбитражного процессуального кодекса Российской Федерации граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности. Таким образом, для признания решений и действий органов, осуществляющих публичные полномочия, должностных лиц незаконными суд должен установить наличие совокупности двух условий: несоответствия решения, действия органов, осуществляющих публичные полномочия, должностных лиц закону или иному нормативному правовому акту; нарушения решением, действиями органов, осуществляющих публичные полномочия, должностных лиц прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности. В силу пункта 5 статьи 200 Арбитражного процессуального кодекса Российской Федерации обязанность доказывания соответствия оспариваемого ненормативного правового акта закону или иному нормативному правовому акту, законности принятия оспариваемого решения, совершения оспариваемых действий (бездействия), возлагается на орган или лицо, которые приняли акт, решение или совершили действия (бездействие). Обязанность доказывания нарушенного права лежит на заявителе. Ответчик вменил в акте внеплановой проверки и предписании от 31.10.2022 нарушение части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О Персональных данных (далее – Закон о персональных данных). Ответчик и третье лицо полагают, что данное нарушение состоит в допущении Обществом неправомерного доступа к ИСПДн «Расчеты с потребителями», повлекшего за собой распространение персональных данных потребителей коммунальной услуги Общества неограниченному кругу лиц путём размещения по указанным выше адресам в сети «Интернет». Частью 1 статьи 6 Закона о персональных данных установлены следующие требования: 1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; 3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; 9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами; 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Согласно статье 2 Закона о персональных данных целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Статьёй 7 Закона о персональных данных установлено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласно части 1 статьи 19 Закона о персональных данных оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных. Из указанных норм следует, что в силу части 1 статьи 6 части 1 статьи 19 Закона о персональных данных оператор, при обработке персональных данных, должен принимать меры для защиты персональных данных, том числе, от неправомерного доступа к ним. Статья 3 Закона о персональных данных содержит следующие определения, необходимые для разрешения настоящего спора: пункт 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); пункт 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; пункт 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; пункт 5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Из представленных в дело доказательств (упомянутые в Справке договоры – том 2 л. д. 56- 160, том 3 л. д. 1-3) следует, что заключившие эти договоры ООО ТНС энерго Пенза является оператором для целей Закона о персональных данных, содержащих персональные данные о потребителях коммунальной услуги, представляемой Обществом. Часть таких данных в отношении четырёх субъектов персональных данных – потребителей коммунальной услуги Общества – приведены в Справке (том 1 л. д. 100-102). Заявитель не оспаривает, что в отношении указанных четырёх субъектов персональных данных доступ в базе данных Оператора получило неустановленное лицо или лица, начиная с 07.07.2022. По указанным выше адресам в информационно-коммуникационной сети «Интернет» (dumpforums.com, а также в Telegram- канале @dumpforumschat) были размещены данные об электронных адресах и номерах телефонов этих четырёх потребителей коммунальной услуги. Как указано выше, согласно пункту 1 статьи 3 Закона о персональных данных, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такой информацией могут быть не только комплекс сведений, позволяющих однозначно определить лицо, но и отдельные сведения. В данном случае адрес электронной почты является уникальным для владельца такого адреса, принадлежит конкретному лицу, равно как и абонентский номер телефона. Следовательно, как информация, относящаяся к определённому лицу, адрес электронной почты, абонентский номер телефона являются персональными данными субъекта персональных данных. В случае, если такими персональными данными располагает оператор, он обязан принять необходимые и достаточные меры к исключению неправомерного доступа к персональным данным третьих лиц. В рассматриваемом случае оператор (ООО ТНС энерго Пенза) не смог обеспечить недоступность персональных данных третьим лицам или лицу, вследствие чего произошло размещение персональных данных в сети «Интернет», доступными неопределённому кругу лиц, без согласия субъектов персональных данных. Более того, такой доступ был не только к адресам электронной почты и номерам телефонов четырёх потребителей услуг, но и ко всей базе данных. Арбитражный суд установил, что факт нарушения заявителем, как оператором, требований Закона о персональных данных, доказан материалами внеплановой документарной проверки, проведённой Управлением Роскомнадзора, так и сведениями, представленными Обществом Роскомнадзору по запросу третьего лица. Это нарушение выразилось в не исполнении требований части 1 статьи 19 Закона о персоналоных данных, выразившемся в необеспечении защиты персональных данных от неправомерного доступа. Заявитель приводит довод о том, что контрольное (надзорное) мероприятие ответчика было повторным. Первым такое мероприятие провёл Роскомнадзор, в силу чего Управление Роскомнадзора не имела повторно проводить проверку по одному и тому же факту. Третье лицо полагает, что им не проводились контрольные (надзорные) мероприятия, при которых подлежат применению положения Федерального закона от 31.07.20-20 № 248-ФЩЗ «О государственном контроле (надзоре) и муниципальном надзоре в Российско Федерации» (далее – Закон о контроле). Частью 3 статьи 23.1 Закона о персональных данных установлено, что федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется в соответствии с Законом о персональных данных (за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом). Согласно части 3 статьи 56 Закона о контроле без взаимодействия с контролируемым лицом проводятся следующие контрольные (надзорные) мероприятия: наблюдение за соблюдением обязательных требований; выездное обследование. Статьёй 74 Закона о контроле установлены следующие положения о таком виде государственного контроля (надзора), как наблюдение за соблюдением обязательных требований (мониторинга безопасности): 1. Под наблюдением за соблюдением обязательных требований (мониторингом безопасности) в целях настоящего Федерального закона понимается сбор, анализ данных об объектах контроля, имеющихся у контрольного (надзорного) органа, в том числе данных, которые поступают в ходе межведомственного информационного взаимодействия, предоставляются контролируемыми лицами в рамках исполнения обязательных требований, а также данных, содержащихся в государственных и муниципальных информационных системах, данных из сети "Интернет", иных общедоступных данных, а также данных полученных с использованием работающих в автоматическом режиме технических средств фиксации правонарушений, имеющих функции фото- и киносъемки, видеозаписи. 2. При наблюдении за соблюдением обязательных требований (мониторинге безопасности) на контролируемых лиц не могут возлагаться обязанности, не установленные обязательными требованиями. 3. Если в ходе наблюдения за соблюдением обязательных требований (мониторинга безопасности) выявлены факты причинения вреда (ущерба) или возникновения угрозы причинения вреда (ущерба) охраняемым законом ценностям, сведения о нарушениях обязательных требований, о готовящихся нарушениях обязательных требований или признаках нарушений обязательных требований, контрольным (надзорным) органом могут быть приняты следующие решения: 1) решение о проведении внепланового контрольного (надзорного) мероприятия в соответствии со статьей 60 настоящего Федерального закона; 2) решение об объявлении предостережения; 3) решение о выдаче предписания об устранении выявленных нарушений в порядке, предусмотренном пунктом 1 части 2 статьи 90 настоящего Федерального закона, в случае указания такой возможности в федеральном законе о виде контроля, законе субъекта Российской Федерации о виде контроля; 4) решение, закрепленное в федеральном законе о виде контроля, законе субъекта Российской Федерации о виде контроля в соответствии с частью 3 статьи 90 настоящего Федерального закона, в случае указания такой возможности в федеральном законе о виде контроля, законе субъекта Российской Федерации о виде контроля. Проведённое Роскомнадзором в отношении ООО ТНС энерго Пенза в июле-августе 2022 года контрольное (надзорное) мероприятие не может быть отнесено к наблюдению за соблюдением обязательных требований, поскольку последнее не предполагает взаимодействия с контролируемым лицом. В рассматриваемом же случае такое взаимодействие было, поскольку Роскомнадзор запрашивал у Общества информацию. Проведение выездного обследования регулируется положениями статьи 75 Закона о контроля, согласно которой: 1. Под выездным обследованием в целях настоящего Федерального закона понимается контрольное (надзорное) мероприятие, проводимое в целях оценки соблюдения контролируемыми лицами обязательных требований. 2. Выездное обследование может проводиться по месту нахождения (осуществления деятельности) организации (ее филиалов, представительств, обособленных структурных подразделений), месту осуществления деятельности гражданина, месту нахождения объекта контроля, при этом не допускается взаимодействие с контролируемым лицом. 3. В ходе выездного обследования на общедоступных (открытых для посещения неограниченным кругом лиц) производственных объектах могут осуществляться: 1) осмотр; 2) отбор проб (образцов); 3) инструментальное обследование (с применением видеозаписи); 4) испытание; 5) экспертиза. 4. Выездное обследование проводится без информирования контролируемого лица. 5. По результатам проведения выездного обследования не могут быть приняты решения, предусмотренные пунктами 1 и 2 части 2 статьи 90 настоящего Федерального закона. 6. Срок проведения выездного обследования одного объекта (нескольких объектов, расположенных в непосредственной близости друг от друга) не может превышать один рабочий день, если иное не установлено федеральным законом о виде контроля. 7. В случае, если в рамках выездного обследования выявлены признаки нарушений обязательных требований, инспектор вправе незамедлительно провести контрольную закупку (при условии, что возможность проведения контрольной закупки в соответствии с настоящей статьей предусмотрена положением о виде контроля). В отношении проведения контрольной закупки не требуется принятие решения о проведении данного контрольного (надзорного) мероприятия. Информация о проведении контрольной закупки вносится в единый реестр контрольных (надзорных) мероприятий в течение одного рабочего дня с момента завершения контрольной закупки. Проведённое Роскомнадзором контрольно (надзорное) мероприятие также отвечает понятию выездного обследования. Рассматриваемое контрольное (надзорное) мероприятие фактически проведено вне законодательных рамок (Закона о контроле). Его результаты не оспаривались, но и не являются основанием для проведения ответчиком внеплановой документарной проверки, не порождают правовых последствий. Пунктом 3 части 1 статьи 57 Закона о контроле установлено, что основанием для проведения контрольных (надзорных) мероприятий может быть поручение Президента Российской Федерации, поручение Правительства Российской Федерации о проведении контрольных (надзорных) мероприятий в отношении конкретных контролируемых лиц. Правительством Российской Федерации издано постановление № 336 от 10.03.2022, абзацем четвёртым подпункта «б» пункта 3 которого установлено, что в 2022 - 2023 годах в рамках видов государственного контроля (надзора), муниципального контроля, порядок организации и осуществления которых регулируются Федеральным законом "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" и Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", а также при осуществлении государственного контроля (надзора) за деятельностью органов государственной власти субъектов Российской Федерации и должностных лиц органов государственной власти субъектов Российской Федерации и за деятельностью органов местного самоуправления и должностных лиц органов местного самоуправления (включая контроль за эффективностью и качеством осуществления органами государственной власти субъектов Российской Федерации переданных полномочий, а также контроль за осуществлением органами местного самоуправления отдельных государственных полномочий) внеплановые контрольные (надзорные) мероприятия, внеплановые проверки проводятся исключительно по следующим основаниям: б) без согласования с органами прокуратуры: по поручению Заместителя Председателя Правительства Российской Федерации, принятому после вступления в силу настоящего постановления и согласованному с Заместителем Председателя Правительства Российской Федерации - Руководителем Аппарата Правительства Российской Федерации. 12.10.2022 Заместитель Правительства Российской Федерации ФИО8 направил Роскомнадзору поручение № ДЧ-П10-17250 (том 3 л. д. 14-18), которым поручил обеспечить проведение документарных и выездных внеплановых проверок в период с 17 октября 2022 г по 31 декабря 2022 г. на предмет соблюдения операторами обязательных требований в области персональных данных, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принимаемых в соответствии с ним иными нормативными правовыми актами Российской Федерации, в рамках федерального государственного контроля (надзора) за обработкой персональных данных в отношении ряда организаций согласно прилагаемому списку. В указанном списке перечислены несколько региональных организаций «ТНС энерго», в том числе под порядковым номером 23 указано ООО «ТНС энерго Пенза». Указанное поручение было направлено Роскомнадзором руководителям территориальных органов с письмом от 13.10.2022 (том 3 л. д. 38). Следовательно, у Роскомнадзора было законное основание и обязанность обеспечить проведение внепланового контрольного (надзорного) мероприятия в отношении заявителя – поручение Заместителя Председателя Правительства Российской Федерации. Выполнение указанного поручения от 12.10.2022 было осуществлено территориальным органом Роскомнадзора – Управлением по Пензенской области на законном основании и в установленном порядке. Проведённой внеплановой документарной проверкой Управление установило факт нарушения Обществом требований законодательства в сфере обработки персональных данных. Совершение нарушения заявителем подтверждается материалами настоящего дела. Пунктом 1 части 2 статьи 90 Закона о контроле установлено, что в случае выявления при проведении контрольного (надзорного) мероприятия нарушений обязательных требований контролируемым лицом контрольный (надзорный) орган в пределах полномочий, предусмотренных законодательством Российской Федерации обязан выдать после оформления акта контрольного (надзорного) мероприятия контролируемому лицу предписание об устранении выявленных нарушений с указанием разумных сроков их устранения и (или) о проведении мероприятий по предотвращению причинения вреда (ущерба) охраняемым законом ценностям, а также других мероприятий, предусмотренных федеральным законом о виде контроля. Следовательно, выдача Управлением Обществу предписания об устранении нарушений обязательных требований является не правом, а обязанностью контрольного (надзорного) органа, и эта обязанность была исполнена ответчиком на законных основаниях. В связи с изложенными обстоятельствами у арбитражного суда при рассмотрении настоящего дела нет оснований полагать, что в рассматриваемом случае было проведено два контрольных (надзорных) мероприятий по одному и тому же факту, и по их итогам вынесены два процессуальных документа, возлагающих на контролируемое лицо определённые обязанности. Оспариваемое предписание не содержит указания на то, какие мероприятия должны быть проведены (какие меры приняты) для исполнения предписания. Однако характер таких мер следует из существа нарушения и предполагает проведение таких мероприятий, которые обеспечат недоступность персональных данных потребителей коммунальной услуги ООО ТНС энерго Пенза третьим лицам без согласия субъектов персональных данных. Боле того, в ответ на требование Роскомнадзора от 16.08.2022 Общество сообщило о том, какие мероприятия проводятся и какие планируется провести для исполнения указанного требования (письмо от 01.09.2022 - том 2 л. д. 47). Достаточность таких мер и мероприятий может являться предметов оценки в вопросе исполнения оспариваемого предписания от 31.10.2022. На основании изложенных обстоятельств арбитражный суд установил, что предписание от 31.10.2022 № П-58/1/65-нд/-/1/4 соответствует законодательству, не нарушает права и законные интересы заявителя. Согласно части 3 статьи 201 АПК РФ в случае, если арбитражный суд, установит, что оспариваемый ненормативный правовой акт, решение и действия (бездействие) органов, осуществляющих публичные полномочия, должностных лиц соответствуют закону или иному нормативному правовому акту и не нарушают права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности, су принимает решение об отказе в удовлетворении заявленного требования. Суд установил, что заявленные требования не подлежат удовлетворению в части признания недействительным предписания. Частью 2 статьи 87 Закона о контроле установлено, что по окончании проведения контрольного (надзорного) мероприятия, предусматривающего взаимодействие с контролируемым лицом, составляется акт контрольного (надзорного) мероприятия (далее также - акт). В случае, если по результатам проведения такого мероприятия выявлено нарушение обязательных требований, в акте должно быть указано, какое именно обязательное требование нарушено, каким нормативным правовым актом и его структурной единицей оно установлено. Акт проверки содержит информацию о контрольном (надзорном) мероприятии, но не относится к решениям, принимаемым по результатам контрольных (надзорных) мероприятий, указанным в статье 90 Закона о контроле, то есть не порождает права и обязанности для контролируемого лица. Из положений главы 24 Арбитражного процессуального кодекса Российской Федерации следует, что оспариванию подлежат ненормативные правовые акты, решения, действия (бездействия) органов, осуществляющих публичные полномочия, должностных, в случае, если такие ненормативные правовые акты, решения, действия (бездействие) нарушают права и законные интересы лица. То есть, указанные ненормативные правовые акты, решения, действия (бездействие) органов осуществляющих публичные полномочия, могут являться предметом оспаривания в арбитражном суде в случае, если они влекут определённые правовые последствия – устанавливают, изменяют, прекращают права и обязанности конкретного лица. Акт проверки права и обязанности не устанавливает, не изменяет и не прекращает, являясь процессуальным документов, содержащим информацию. В рассматриваемом случае обязанности в отношении заявителя установлены предписанием, а не актом проверки. Следовательно, требование о признании недействительным акта внеплановой документарной проверки не подлежит оспариванию в судах. Согласно пункту 1 части 1 статьи 150 Арбитражного процессуального кодекса Российской Федерации арбитражный суд прекращает производство по делу, если установит, что имеются основания, предусмотренные пунктом 1 статьи 127.1 настоящего Кодекса. Пунктом 1 части 1 статьи 127.1 АПК РФ установлено, что судья отказывает в принятии искового заявления, заявления, если исковое заявление, заявление подлежат рассмотрению в порядке конституционного или уголовного производства, либо не подлежат рассмотрению в судах. Поскольку требование заявителя о признании недействительным акта внеплановой документарной проверки не подлежат рассмотрению в судах, производство в этой части подлежит прекращению. На основании статьи 110 Арбитражного процессуального кодекса Российской Федерации арбитражный суд определил отнести на заявителя расходы по уплате государственной пошлине в размере 3000 рублей по требованию о признании недействительным предписания. На основании пункта 3 части 1 статьи 33340 Налогового кодекса Российской Федерации государственная пошлина в размере 3000 рублей по требованию о признании недействительным акта проверки подлежит возврату заявителю из федерального бюджета. Руководствуясь статьями 150, 151, 167-170, 176, 201 Арбитражного процессуального кодекса Российской Федерации, суд Отказать обществу с ограниченной ответственностью «ТНС энерго Пенза» в удовлетворении требования о признании недействительным предписания Управления Роскомнадзора по Пензенской области 31.10.2022 № П-58/1/65-нд/-/1/4. Прекратить производство по настоящему делу в части требования о признании недействительным акта внеплановой документарной проверки от 31.10.2022 № А58/1/65-нд/46. Вернуть обществу с ограниченной ответственностью «ТНС энерго Пенза» из федерального бюджета государственную пошлину в размере 3000 рубле, перечисленную по платёжному поручению № 17704 от 26.12.2022. На настоящее решение в месячный срок со дня его принятия может быть подана апелляционная жалоба в Одиннадцатый арбитражный апелляционный суд через арбитражный суд Пензенской области. Судья М. В. Табаченков Электронная подпись действительна.Данные ЭП:Удостоверяющий центр Казначейство РоссииДата 21.10.2022 8:05:00 Кому выдана Табаченков Михаил Викторович Суд:АС Пензенской области (подробнее)Истцы:ООО "ТНС энерго Пенза" (подробнее)Ответчики:УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО ПЕНЗЕНСКОЙ ОБЛАСТИ (подробнее)Судьи дела:Табаченков М.В. (судья) (подробнее)Последние документы по делу:Судебная практика по:По вымогательствуСудебная практика по применению нормы ст. 163 УК РФ |
