Решение от 28 февраля 2020 г. по делу № А35-5100/2019АРБИТРАЖНЫЙ СУД КУРСКОЙ ОБЛАСТИ г. Курск, ул. К. Маркса, д. 25 http://www.kursk.arbitr.ru Именем Российской Федерации Дело № А35-5100/2019 28 февраля 2020 года г. Курск Резолютивная часть решения объявлена 20.02.2020. Полный текст решения изготовлен 28.02.2020. Арбитражный суд Курской области в составе судьи Клочковой Е.В., при ведении протокола судебного заседания секретарем судебного заседания ФИО1, рассмотрев в судебном заседании дело по заявлению Фонда «Региональный оператор фонда капитального ремонта многоквартирных домов Курской области» к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области о признании незаконным и отмене предписания Роскомнадзора от 28.02.2019 №П-46/4/4-нд/-/1/1, при участии: от заявителя – ФИО2 по доверенности № 1 от 09.01.2020 года, от заинтересованного лица – не явился, извещен надлежащим образом, Фонд «Региональный оператор фонда капитального ремонта многоквартирных домов Курской области» (далее – заявитель, фонд) обратился в арбитражный суд с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области (далее – заинтересованное лицо, Управление Роскомнадзора по Курской области, управление) о признании незаконным и отмене предписания Роскомнадзора от 28.02.2019 №П-46/4/4-нд/-/1/1. В ходе рассмотрения спора заявитель уточнил заявленные требования и просил суд признать незаконным и отменить предписание Роскомнадзора от 28.02.2019г. №П-46/4/4-нд/-/1/1 в части нарушения ч.4 ст.9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Заинтересованное лицо, надлежащим образом извещенное о времени и месте судебного заседания в соответствии со статьей 123 АПК РФ, явку своих представителей не обеспечило. 19.02.2020 года от заинтересованного лица через канцелярию суда поступили письменные пояснения с приложением дополнительных доказательств, которые приобщены к материалам дела, а также ходатайство о рассмотрении дела в отсутствие представителя заинтересованного лица, которое, с учетом мнения представителя заявителя, судом удовлетворено. В судебном заседании представитель заявителя поддержал заявленные требования, ходатайствовал о приобщении к материалам дела копий согласий на обработку персональных данных работников фонда, заполненных в 2017-2018 годах. Документы приобщены к материалам дела. Дело рассмотрено в соответствии со ст. 156, 200 АПК РФ в отсутствие представителя заинтересованного лица, надлежащим образом извещенного о времени и месте судебного заседания. Как следует из материалов дела, Фонд «Региональный оператор Фонда капитального ремонта многоквартирных домов Курской области», адрес: 305000, <...>, ОГРН: <***>, дата регистрации в качестве юридического лица: 26.08.2013, ИНН: <***>. На основании приказа Управления Роскомнадзора по Курской области от 28.01.2019 №4-нд, а также с целью выполнения Плана деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области на 2019 год, утвержденного приказом руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области № 141 от 15.11.2017г., размещенного на сайте в сети «Интернет» http://46.rkn.gov.ru, в период с 01.02.2019 по 28.02.2019 была проведена плановая выездная проверка Фонда «Региональный оператор Фонда капитального ремонта многоквартирных домов Курской области» в рамках государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. В ходе проведения проверки управлением выявлены следующие нарушения в деятельности фонда: - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения (нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); - несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (нарушение ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); - выявлена обработка специальных категорий персональных данных за исключением случаев, предусмотренных ч.2 ст. 10 Федерального закона «О персональных данных» (нарушение ч. 1 ст. 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); - отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (нарушение п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»); - нарушение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников (нарушение п. 8 ст. 86 Трудового кодекса Российской Федерации); - обработка избыточных персональных данных по отношению к заявленным целям их обработки (нарушение ч. 5 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); По итогам проведения проверки управлением составлен акт проверки № А-46/4/4-нд/7 от 28.02.2019. 28.02.2019 фонду выдано предписание об устранении выявленного нарушения № П-46/4/4-нд/-/1/1 со сроком исполнения до 26.04.2019. Посчитав, что предписание Управления Роскомнадзора по Курской области об устранении выявленного нарушения № П-46/4/4-нд/-/1/1 в части нарушения ч. 4 ст.9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», не соответствует действующему законодательству и нарушает права и законные интересы фонда, заявитель обратился в суд с рассматриваемыми требованиями. В обоснование заявленных требований заявитель указал на то, что управлением не указаны реквизиты конкретного документа, который был проверен данным органом, с указанием даты получения согласия для обработки персональных данных, а также конкретного лица, в отношении которого была проведена обработка персональных данных, что подтверждает факт истечения исковой давности для привлечения к административной ответственности фонда, кроме того полагает, что права субъектов обработки персональных данных не были нарушены. Также, как указывает заявитель, предписание является неисполнимым, поскольку в нем не отражена суть выявленного нарушения. Заявитель полагает, что Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления в произвольной форме, однако управление не указало, какое конкретно Согласие на обработку персональных данных оно рассматривало, от какого числа, кто давал разрешение на обработку, в связи с чем невозможно установить из полученного предписания срок давности привлечения к административной ответственности, а также фактическое нарушение. Кроме того, в судебном заседании представитель заявителя пояснил, что при проведении проверки Управлению Роскомнадзора по Курской области фондом были представлены заполненные формы согласия на обработку персональных данных, соответствующие требованиям Федерального закона № 152-ФЗ. Заинтересованное лицо представило письменный отзыв, в котором указало на законность выданного предписания, сославшись на то, что 11.02.2019 фондом были представлены документы, необходимые для проведения плановой выездной проверки (вх. от № 1039/46), в том числе незаполненные типовые формы: - согласие на обработку персональных данных работника; - согласие на обработку персональных данных пользователей услуг. Управление Роскомнадзора по Курской области поясняет, что им был произведен анализ типовой формы согласия на обработку персональных данных работника и выявлено несоответствие требований ч. 4 ст. 9 Закона, а именно: - отсутствует перечень действий с ПДн, на совершение которых даётся согласие; - не указан срок, в течение которого действует согласие субъекта персональных данных. При анализе содержания типовой формы письменного согласия пользователей услуг (субъектов персональных данных) на обработку персональных данных, как указывает Управление Роскомнадзора по Курской области, им было выявлено её несоответствие требованиям ч.4 ст.9 Закона, а именно: - отсутствует цель обработки ПДн; - отсутствует перечень персональных данных, на обработку которых даётся согласие субъекта ПДн; - отсутствует перечень действий с ПДн, на совершение которых даётся согласие, общее описание используемых оператором способов обработки ПДн; - не указан срок, в течение которого действует согласие субъекта персональных данных. Между тем, заинтересованное лицо указывает, что фонд представил незаполненные типовые формы (пустые бланки) указанных согласий на обработку персональных данных; не закрепил форму указанных согласий в своих внутренних локальных актах. Кроме того, заинтересованное лицо указало на то, что 24.04.2019 фонд сообщил об исполнении оспариваемого предписания в полном объеме. Изучив представленные доказательства и заслушав мнение представителя заявителя, суд приходит к следующим выводам. В соответствии со ст. 4 Арбитражного процессуального кодекса Российской Федерации (далее – АПК РФ) заинтересованное лицо вправе обратиться в арбитражный суд за защитой своих нарушенных или оспариваемых прав и законных интересов в порядке, установленных настоящим Кодексом. В силу части 1 статьи 198 АПК РФ граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности. Заявление может быть подано в арбитражный суд в течение трех месяцев со дня, когда гражданину, организации стало известно о нарушении их прав и законных интересов, если иное не установлено федеральным законом. Пропущенный по уважительной причине срок подачи заявления может быть восстановлен судом (часть 4 статьи 198 Кодекса). Оспариваемое предписание выдано 28.02.2019, в арбитражный суд заявление поступило 06.06.2019, то есть с нарушением установленного частью 4 статьи 198 АПК РФ срока. Вместе с тем, заявление об оспаривании указанного предписания поступило в Арбитражный суд Курской области 06.06.2019 посредством почтового отправления. Учитывая то, что заявитель реализовал свое право на обжалование в момент сдачи указанного заявления на почту, то есть 27.05.2019, суд считает заявление поданным в пределах установленного срока. Основанием для признания незаконными действий (бездействия), ненормативного правового акта органов, осуществляющих публичные полномочия, должностных лиц является наличие одновременно двух условий: их несоответствие закону или иному нормативному правовому акту и нарушение прав и законных интересов лица, обратившегося в суд с соответствующим требованием, в сфере предпринимательской и иной экономической деятельности (статьи 198, 200 и 201 АПК РФ, пункт 6 постановления Пленума Верховного Суда Российской Федерации и Пленума Высшего Арбитражного Суда Российской Федерации от 01.07.1996 № 6/8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации»). В соответствии с частью 5 статьи 200 АПК РФ обязанность доказывания соответствия оспариваемого ненормативного правового акта закону или иному нормативному правовому акту, законности принятия оспариваемого решения, совершения оспариваемых действий (бездействия), наличия у органа или лица надлежащих полномочий на принятие оспариваемого акта, решения, совершение оспариваемых действий (бездействия), а также обстоятельств, послуживших основанием для принятия оспариваемого акта, решения, совершения оспариваемых действий (бездействия), возлагается на орган или лицо, которые приняли акт, решение или совершили действия (бездействие). При этом, исходя из правил распределения бремени доказывания, обязанность доказывания факта нарушения своих прав и законных интересов возлагается на заявителя. Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным, регулируются Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). В силу части 1 статьи 23 Закона № № 152-ФЗ, уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации (часть 1.1 статьи 23 Закона № № 152-ФЗ). Отношения в области организации и осуществления государственного контроля (надзора), муниципального контроля и защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля регулируются Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее - Федеральный закон № 294-ФЗ). В силу части 1 статьи 9 Федерального закона № 294-ФЗ, предметом плановой проверки является соблюдение юридическим лицом, индивидуальным предпринимателем в процессе осуществления деятельности совокупности предъявляемых обязательных требований и требований, установленных муниципальными правовыми актами, а также соответствие сведений, содержащихся в уведомлении о начале осуществления отдельных видов предпринимательской деятельности, обязательным требованиям. Плановые проверки проводятся на основании разрабатываемых и утверждаемых органами государственного контроля (надзора), органами муниципального контроля в соответствии с их полномочиями ежегодных планов (часть 3 статьи 9 Федерального закона № 294-ФЗ). Согласно Положению о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденному постановлением Правительства Российской Федерации от 16.03.2009 № 228 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. При этом Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. На основании раздела 5 данного Положения Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет полномочия по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. В соответствии с разделом 6 названного Положения Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций с целью реализации полномочий в установленной сфере ведения имеет право: запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесенным к компетенции Службы; проводить необходимые расследования, испытания, экспертизы, анализы и оценки, а также научные исследования по вопросам, отнесенным к компетенции Службы; в порядке и случаях, которые установлены законодательством Российской Федерации, применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений. Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312 утвержден Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Данный Регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в рамках проведения проверок при осуществлении государственной функции. Согласно пунктам 6, 10 - 11, 28 - 32 Регламента Управление проводит проверки деятельности операторов на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных, которые могут носить как плановый, так и внеплановый характер, в форме документарной или выездной проверки. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок территориального органа Службы на текущий календарный год. План утверждается руководителем территориального органа Службы и размещается на официальном сайте территориального органа Службы. Проверка завершается составлением и вручением Оператору акта проверки, выдачей Оператору предписаний об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных. Информация о порядке проведения проверок предоставляется посредством размещения на официальном сайте Службы и ее территориальных органов в информационно-телекоммуникационной сети Интернет, указанном в пункте 15 настоящего Регламента. Как следует из представленных документов, проводимая управлением проверка была включена в План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области на 2019 год, утвержденный приказом руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области № 141 от 15.11.2017г., размещенный на сайте в сети «Интернет» http://46.rkn.gov.ru. Таким образом, проверка фонда проведена полномочным лицом на законных основаниях. В силу статьи 3 Закона № 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В соответствии с частью 1 статьи 9 Закона № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Частью 4 статьи 9 Закона № 152-ФЗ, в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных. Как следует из материалов дела, по итогам проведения проверки управлением в деятельности фонда установлен ряд нарушений законодательства, в том числе, требований части 4 статьи 9 Закона № 152-ФЗ. При этом, как прямо следует из текста акта проверки № А-46/4/4-нд/7 от 28.02.2019, данное нарушение выразилось в «несоответствии содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации». Как пояснило управление, данный вывод им был сделан на основе представленных фондом документов, необходимых для проведения плановой выездной проверки, а именно направленных с сопроводительным письмом фонда от 08.02.2019 № 410 (т. 2 л.д. 3). Согласно указанному письму, фондом в адрес управления направлены, в том числе, «Копия письменного согласия субъекта персональных данных на обработку его персональных данных на 1 л. в 1 экз.», «Копия согласия работника на обработку его персональных данных в целях соблюдения требований при передаче персональных данных работников на 1 л. в 1 экз.». При этом управлением в материалы дела представлены две незаполненные формы «Согласие на обработку персональных данных» (т. 2 л.д. 2, 4). Управление указало, что данные формы были представлены фондом в рамках проведения спорной проверки. Между тем, к данному утверждению Управления Роскомнадзора по Курской области следует отнестись критически по следующим основаниям. Так, заявителем данное пояснение заинтересованного лица оспорено: в судебном заседании представитель заявителя пояснил, что на запрос Управления Роскомнадзора по Курской области фондом были представлены заполненные формы согласия на обработку персональных данных, соответствующие требованиям Федерального закона № 152-ФЗ. В ходе судебного разбирательства заявителем в материалы дела представлены копии согласий на обработки персональных, используемых фондом в 2017-2018 годах, которые отличаются по своей форме и содержанию от бланков «Согласие на обработку персональных данных» (т. 2 л.д. 2, л.д. 4), представленным управлением. Представленные заявителем копии документов содержат перечень действий с ПДн, на совершение которых дается согласие. Отсутствие в согласиях на обработку персональных данных срока их действия не свидетельствует о нарушении заявителем требований части 4 статьи 9 Закона № 152-ФЗ (Определением Верховного Суда Российской Федерации от 05.03.2018 № 307-КГ18-101). Как видно из материалов дела, представленные управлением формы «Согласие на обработку персональных данных» (т. 2 л.д. 2, л.д. 4) представляют собой незаполненные бланки, на которых отсутствуют какие-либо отметки уполномоченного представителя заявителя о свидетельствовании соответствия данных документов (форм) документам (формам), которые применяются фондом при осуществлении обработки персональных данных. Иными словами, установить, что представленные управлением в материалы дела две формы «Согласие на обработку персональных данных» (т. 2 л.д. 2, л.д. 4) действительно тождественны тем, которые фонд направил с сопроводительным письмом от 08.02.2019 № 410 (т. 2 л.д. 3) и которые применялись фондом в работе, не представляется возможным. В ходе проведения проверки заинтересованное лицо установило, что фонд представил незаполненные типовые формы (пустые бланки) указанных согласий на обработку персональных данных; не закрепил форму указанных согласий в своих внутренних локальных актах. В силу части 6 статьи 71 АПК РФ, арбитражный суд не может считать доказанным факт, подтверждаемый только копией документа или иного письменного доказательства, если утрачен или не передан в суд оригинал документа, а копии этого документа, представленные лицами, участвующими в деле, не тождественны между собой и невозможно установить подлинное содержание первоисточника с помощью других доказательств. Как было указано выше, в соответствии с частью 5 статьи 200 АПК РФ обязанность доказывания соответствия оспариваемого предписания закону или иному нормативному правовому акту, а также обстоятельств, послуживших основанием для его выдачи, возлагается на управление, которое, в нарушение данной нормы, указанную обязанность не исполнила. При таких обстоятельствах, учитывая, что заявителем представлены суду формы согласий, используемые в работе в спорный период, соответствующие требованиям Федерального закона № 152-ФЗ, и данный факт не опровергнут заинтересованным лицом, суд полагает недоказанным факт нарушения фондом требований части 4 статьи 9 Закона № 152-ФЗ, которые выразились в несоответствии содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации. Помимо этого суд полагает необходимым отметить следующее. На основании части 1 статьи 17 Федерального закона № 294-ФЗ, в случае выявления при проведении проверки нарушений юридическим лицом, индивидуальным предпринимателем обязательных требований или требований, установленных муниципальными правовыми актами, должностные лица органа государственного контроля (надзора), органа муниципального контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны, в том числе, выдать предписание юридическому лицу, индивидуальному предпринимателю об устранении выявленных нарушений с указанием сроков их устранения и (или) о проведении мероприятий по предотвращению причинения вреда жизни, здоровью людей, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, имуществу физических и юридических лиц, государственному или муниципальному имуществу, предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, а также других мероприятий, предусмотренных федеральными законами. Пунктами 85-86 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312, в свою очередь, установлено следующее. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных, Оператору, вместе с актом, выдается предписание об устранении выявленных нарушений. В предписании об устранении выявленных нарушений указываются: - Наименование органа федерального государственного контроля (надзора). - Дата выдачи предписания об устранении выявленных нарушений. - Номер предписания об устранении выявленных нарушений. - Наименование Оператора. - Регистрационный номер Оператора в Реестре (при наличии). - Наименование вида деятельности. - Дата и номер акта проверки. - Содержание нарушения. - Основание выдачи предписания. - Срок устранения нарушения. - Срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения. - Подписи должностных лиц, проводивших проверку. В постановлении Президиума Высшего Арбитражного Суда Российской Федерации от 09.07.2013 № 2423/13 разъяснено, что исполнимость предписания является важным требованием к этому виду ненормативного правового акта, поскольку предписание исходит от государственного органа, обладающего властными полномочиями, носит обязательный характер и для его исполнения устанавливается срок, за нарушение которого наступает административная ответственность. Исполнимость предписания следует понимать как наличие реальной возможности у лица, привлекаемого к ответственности, устранить в указанный срок выявленное нарушение. Учитывая изложенное, предписание как ненормативный правовой акт, выносимый по результатам проведения мероприятий административного контроля и направленный на устранение выявленных нарушений, должно содержать законные требования и соответствовать требованиям исполнимости, конкретности и определенности. Между тем, анализируя оспариваемое предписание, суд приходит к выводу о том, что оспариваемое в части предписание не соответствует указанным требованиям, поскольку выдано с нарушением статьи 17 Федерального закона № 294-ФЗ и пункту 86 Регламента. Как прямо следует из текста предписания, в разделе «Содержание нарушения» указано: «ч. 1 ст. 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; п. 8 ст. 86 Трудового кодекса Российской Федерации; ч. 5 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ч. 3 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» ч. 3 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»». Таким образом, при описании содержания нарушения управление ограничилось лишь ссылкой на положения нормативных правовых актов, не указав, какие именно действия (бездействия) фонда нарушают данные положения. Обращаясь к тексту акта проверки № А-46/4/4-нд/7 от 28.02.2019, также не представляется возможным установить содержание выявленных нарушений. Как прямо следует из текста акта, в ходе проверки выявлены: - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения (нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); - несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (нарушение ч. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); - выявлена обработка специальных категорий персональных данных за исключением случаев, предусмотренных ч.2 ст. 10 Федерального закона «О персональных данных» (нарушение ч. 1 ст. 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»); - отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (нарушение п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»); - нарушение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников (нарушение п. 8 ст. 86 Трудового кодекса Российской Федерации); - обработка избыточных персональных данных по отношению к заявленным целям их обработки (нарушение ч. 5 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»). Предписание должно содержать четкую формулировку относительно конкретных действий, которые необходимо совершить исполнителю, и которые должны быть направлены на прекращение и устранение выявленного нарушения. Содержащиеся в предписании требования должны исключать возможность двоякого толкования; изложение должно быть кратким, четким, ясным, последовательным, доступным для понимания всеми лицами. Исходя из содержания оспариваемого предписания, суд усматривает, что из него не представляется возможным установить характер и существо нарушений требований законодательства в сфере обработки персональных данных, а также невозможно установить необходимые мероприятия, которые надлежит выполнить фонду. Таким образом, содержащиеся в оспариваемом предписании формулировки фактически создают условия для их двоякого толкования и необходимость их дополнительного разъяснения лицу, в адрес которого оно выдано. Предписание от 28.02.2019 № П-46/4/4-нд/-/1/1 в имеющемся виде, без дополнительных пояснений и разъяснений, не отвечает принципам исполнимости, конкретности и определенности, в связи с чем является незаконным и нарушает права и законные интересы заявителя. С учетом изложенного, требования заявителя подлежат удовлетворению. Согласно пункту 3 части 4 статьи 201 АПК РФ в резолютивной части решения по делу об оспаривании ненормативных правовых актов, решений государственных органов, органов местного самоуправления, иных органов, должностных лиц должно содержаться указание на признание оспариваемого акта недействительным или решения незаконным полностью или в части и обязанность устранить допущенные нарушения прав и законных интересов заявителя либо на отказ в удовлетворении требований заявителя полностью или в части. В соответствии с частью 1 статьи 110 АПК РФ судебные расходы, понесенные лицами, участвующими в деле, в пользу которых принят судебный акт, взыскиваются со стороны. При предъявлении заявления обществом уплачена государственная пошлина в размере 3 000 руб. 00 коп. (платежные поручения от 14.06.2019 № 3751, от 02.07.2019 № 4516). Учитывая результат рассмотрения спора, сумма уплаченной государственной пошлины в размере 3 000 руб. подлежит взысканию с заинтересованного лица в пользу заявителя. Руководствуясь статьями 110, 167-170, 201 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд Требования Фонда «Региональный оператор фонда капитального ремонта многоквартирных домов Курской области» удовлетворить. Признать незаконным и отменить предписание Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области от 28.02.2019 № П-46/4/4-нд/-/1/1. Оспариваемое предписание проверено на соответствие нормам Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Административному регламенту исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденному приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312. Взыскать с Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области в пользу Фонда «Региональный оператор фонда капитального ремонта многоквартирных домов Курской области» судебные расходы по оплате государственной пошлины в размере 3 000 руб. 00 коп. Решение может быть обжаловано в Девятнадцатый арбитражный апелляционный суд в течение месяца со дня его принятия через Арбитражный суд Курской области. Судья Е.В. Клочкова Суд:АС Курской области (подробнее)Истцы:Фонд "Региональный оператор фонда капитального ремонта многоквартирных домов Курской области" (подробнее)Ответчики:Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Курской области (подробнее)Последние документы по делу: |
