Решение от 4 декабря 2025 г. по делу № А56-71399/2025




Арбитражный суд города Санкт-Петербурга и Ленинградской области

191124, Санкт-Петербург, ул. Смольного, д.6

http://www.spb.arbitr.ru


Именем Российской Федерации


РЕШЕНИЕ


Дело № А56-71399/2025
05 декабря 2025 года
г.Санкт-Петербург




Резолютивная часть решения объявлена  23 октября 2025 года.

Полный текст решения изготовлен  05 декабря 2025 года.


Арбитражный суд города Санкт-Петербурга и Ленинградской области в составе:судьи  Котлова Р.Э.,

при ведении протокола судебного заседания секретарем Рагимовой Л.М.,

рассмотрев в судебном заседании дело по заявлению:

Заявитель: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу (адрес: 190098, г.Санкт-Петербург, вн.тер.г. муниципальный округ Адмиралтейский округ, ул Галерная, д. 27, литера А, ОГРН: <***>, Дата присвоения ОГРН: 26.07.2004, ИНН: <***>, КПП: 783801001);

Заинтересованное лицо: Банк ВТБ (публичное акционерное общество) (адрес: 191144, г.Санкт-Петербург, пер. дегтярный, д. 11 литер А, ОГРН: <***>, Дата присвоения ОГРН: 22.11.2002, ИНН: <***>, КПП: 784201001)

о привлечении к административной ответственности, предусмотренной частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях,


при участии: согласно протоколу судебного заседания от 21.10.2025, от 23.10.2025,

установил:


Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу (далее – Управление) обратилось в Арбитражный суд города Санкт-Петербурга и Ленинградской области с заявлением к Банку ВТБ (публичное акционерное общество) (далее – Заинтересованное лицо, Общество) о привлечении к административной ответственности, предусмотренной частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ).

В обоснование требования Управление указывает, что Банком ВТБ (ПАО) без соответствующих правовых оснований осуществлена обработка персональных данных ФИО1

Представитель административного органа в судебном заседании поддержал требование, просил заявление удовлетворить.

Общество в отзыве указывает, что в силу п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) персональные данные могут обрабатываться без получения согласия на обработку персональных данных, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем инициативе субъекта персональных данных или договора, по которому субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; обработка персональных данных ФИО1 по рассматриваемым событиям осуществлялась в целях исполнения договора о предоставлении и использовании банковской карты в соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Представитель Общества в судебном заседании возражал против удовлетворения заявления по основаниям, изложенным в отзыве.

Как следует из материалов дела, в Управление Роскомнадзора по Архангельской области и Ненецкому автономному округу поступили заявления гражданки ФИО1 (далее - Заявитель), аналогичные по своему содержанию (вх.№06-130-604/29 и вх.№06-130-604/29-1 от 16.04.2025, вх.№06-130-604/29-2 от 21.04.2025, вх.№06-130-604/29-3 от 13.05.2025) о возможном нарушении обязательных требований действующего законодательства Российской Федерации в области персональных данных.

20.05.2025 поступило повторное обращение (вх.№06-130-727/29, от 20.05.2025) гражданки ФИО1 с дополнительной информацией и просьбой объединить данные из ранее направленных обращений вх.№06-130-604/29 и вх.№06-130-604/29-1 от 16.04.2025, вх.№06-130-604/29-2 от 21.04.2025, вх.№06-130-604/29-3 от 13.05.2025.

В обращении ФИО1 сообщает, что ей стало известно о наличии оформленной на её имя Банком ВТБ (ПАО) без её участия и согласия банковской карты.

Факт оформления на имя Заявителя банковской карты стал ей известен после того, как на её телефон стали поступать текстовые сообщения от абонента (VТВ):

25.03.2025 в 13:03 - о приглашении в семейную группу,

28.03.2025 в 15:29 - об открытии кабинета ВТБ Онлайн,

29.03.2025 в 13:50 - о получении дополнительной карты и о проведенной оплате с карты *6308 на сумму 40р. и 75р. при том, что клиентом Банка ВТБ (ПАО) ФИО1 никогда не являлась.

Заявитель утверждает, что вышеуказанную карту не оформляла, на руки от работника Банка ВТБ (ПАО) не получала.

В ходе телефонного разговора с работником Банка ВТБ (ПАО) гр. ФИО1 сообщили о выдаче данной карты на руки неизвестному ей гражданину.

14.04.2025 в 15:30 ФИО1 обратилась на горячую линию Банка ВТБ (ПАО) по телефону (+78001002424), где ей помогли заблокировать карту *6308 и закрыть кабинет Онлайн банка. В качестве подтверждения Заявитель предоставила аудио запись разговора на горячую линию Банка.

В своем обращении ФИО1 заявила об отсутствии у Банка ВТБ (ПАО) правовых оснований обработки её персональных данных, поскольку согласие Банку ВТБ (ПАО) на обработку своих персональных данных она не давала, в связи с чем просит привлечь виновных лиц к ответственности, предусмотренной законодательством РФ, за нарушение закона о персональных данных.

15.04.2025 ФИО1 лично обратилась в офис Банка ВТБ (ПАО) в г.Архангельске, где ей отказались предоставить источник предоставления её персональных данных сославшись на нарушение Закона № 152-ФЗ. В качестве подтверждения обращения в Банк ВТБ (ПАО) ФИО1 предоставила ответ Банка ВТБ (ПАО) от 14.05.2025 исх. 20923/455370, направленный на адрес её электронной почты.

Заявитель считает, что были нарушены её права при неправомерном использовании Банком ВТБ (ПАО) и третьими лицами её персональных данных, т.к. в договорных отношениях с Банком ВТБ (ПАО) Заявитель не состояла и клиентом никогда не была, согласия на открытие счета, карты не давала и личный кабинет не регистрировала.

В целях подтверждения факта неправомерной обработки персональных данных ФИО1 были предоставлены:

-       снимки экрана телефона ФИО1 с поступившими CMC сообщениям от Банка ВТБ (ПАО);           

-       копия договора об оказании услуг связи, подтверждающая, что ФИО1 являетесь абонентом номера телефона, на который поступали СМС от Банка ВТБ (ПАО);

-       аудио запись разговора на горячую линию Банка ВТБ (ПАО) от 14.04.2025;

ответ Банка ВТБ (ПАО) от 14.05.2025 исх. 20923/455370.

В рамках имеющихся полномочий Управлением в адрес Банка ВТБ (ПАО) письмом от 30.05.2025 за исх.№4894-06/29 был направлен запрос о предоставлении информации по существу доводов обращения ФИО1

17.06.2025 в адрес Управления поступил ответ Банка ВТБ (ПАО) от 17.06.2025 за исх.№25835/455370 (вх.№10405/29), согласно которому последний сообщил, что для удобства клиентов - владельцев счетов в Банке ВТБ (ПАО) имеется возможность выпустить дополнительную банковскую карту к счету на 3-е лицо на основании соответствующего заявления, заполненного Клиентом. Дополнительная карта выпускается к счету, владельцем которого является Клиент. Дополнительная карта дает возможность держателю распоряжаться денежными средствами, находящимися на счете Клиента и именно Клиент определяет, кому именно он предоставляет доступ к денежным средствам, размещенным на его счете.

Как   сообщил   ВТБ   (ПАО),   12.04.2025   иной   Клиент  Банка  ВТБ   (ПАО)  оформил дополнительную карту к своему счету на 3-лицо (Заявителя) на основании соответствующего заявления, заполненного Клиентом. В качестве подтверждения    Банком ВТБ (ПАО) было предоставлена копия указанного заявления, заполненного 12.04.2025 Клиентом - ФИО2

Банк ВТБ (ПАО) в своем ответе от 17.06.2025 за исх.№25835/455370 подтвердил факт обработки персональных данных ФИО1, не являющейся Клиентом Банк ВТБ (ПАО), при оформлении иным Клиентом дополнительной банковской карты с указанием персональных данных Заявителя.

17.07.2025 должностным лицом Управления – специалистом – экспертом Отдела контроля и надзора за соблюдением законодательства в сфере персональных данных ФИО3 составлен протокол №АП-78/12/635 об административном правонарушении, предусмотренном частью 1 статьи 13.11 КоАП РФ.

На основании части 3 статьи 23.1 КоАП РФ протокол и иные материалы проверки направлены Управлением в арбитражный суд для решения вопроса о привлечении Общества к административной ответственности.

Положениями части 1 статьи 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11 - 18 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами регулируется Законом №152-ФЗ (Закон о персональных данных).

Согласно пунктам 1 - 3 статьи 3 Закона о персональных данных персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно пункту 1 части 1 статьи 6 Закона №152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Предоставление персональных данных - это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

В соответствии с частью 1 статьи 9 Закона №152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено Законом.

Факт обработки Обществом персональных данных ФИО1 без получения её согласия на обработку её персональных данных подтверждается материалами дела и не оспаривается Обществом.

Между тем права и обязанности организаций, осуществляющих операции с денежными средствами или иным имуществом, установлены также статьей 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Закон о противодействии финансированию терроризма).

Согласно пункту 1 части 1 статьи 7 указанного Закона организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны до приема на обслуживание идентифицировать клиента, представителя клиента и (или) выгодоприобретателя, за исключением случаев, установленных пунктами 1.1, 1.2, 1.4, 1.4-1 и 1.4-2 данной статьи, установив конкретные сведения в отношении физических лиц, указанные в названной части, в том числе реквизиты документа, удостоверяющего личность.

Под идентификацией в соответствии со статьей 3 Закона о противодействии финансированию терроризма понимается совокупность мероприятий по установлению определенных данным Законом сведений о клиентах, их представителях, выгодоприобретателях, бенефициарных владельцах и подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий и (или) государственных и иных информационных систем.

Процедуру идентификации организацией, осуществляющей операции с денежными средствами или иным имуществом, клиента, представителя клиента и (или) выгодоприобретателя следует отличать от процедуры установления личности.

Так, идентификация клиента, представителя клиента и (или) выгодоприобретателя имеет своей целью подтвердить, что лицо, обратившееся за конкретной услугой, является именно тем лицом, которое может требовать ее оказания, в то время как установление личности, осуществляемое в основном субъектами, наделенными специальными властными полномочиями, выявляет, что лицо осуществляет деятельность именно под своим именем.

Идентификация кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма регламентирована положением Банка России от 15 октября 2015 г. N 499-П (далее - положение N 499-П).

В пункте 2.1 данного положения предусмотрено, что при идентификации клиента, представителя клиента, выгодоприобретателя, бенефициарного владельца кредитной организацией самостоятельно либо с привлечением третьих лиц осуществляется сбор сведений и документов, предусмотренных приложениями 1 и 2 к положению, документов, являющихся основанием совершения банковских операций и иных сделок.

Таким образом, обязанность клиента предоставить банку информацию о выгодоприобретателе не равнозначна процедуре идентификации выгодоприобретателя. При этом объективной невозможности проведения Банком проверки предоставленной клиентом информации о выгодоприобретателе судом не установлено.

В соответствии с пунктом 5 части 1 статьи 6 Закона N 152-ФЗ допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Возможность обработки банками при заключении договора персональных данных выгодоприобретателей без получения на это их согласия подтверждается совместным информационным письмом Центрального Банка России N ИН-06-59/57 и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций N 08ЛА-48666 от 29.07.2021 "О согласии заемщиков на обработку их персональных данных".

Указанная правовая позиция нашла свое отражение в Определении Верховного Суда Российской Федерации от 10.06.2025 № 5-КГ25-56-К2.

Обслуживание клиентов в Банке ВТБ (ПАО) осуществляется на основании Договора комплексного обслуживания (далее - ДКО). В рамках ДКО клиентам открываются счета, карты, подключается система дистанционного банковского обслуживания ВТБ Онлайн (далее - Система). Отношения, возникающие между Банком и клиентами, регулируются Правилами комплексного банковского обслуживания, Правилами предоставления и использования банковских карт ВТБ (далее - Правила), Правилами дистанционного банковского обслуживания, Правилами совершения операций по счетам. По заявлению клиента Банком может быть оформлена дополнительная карта на имя самого клиента либо на имя указанного клиентом в заявлении держателя дополнительной карты (пункт 4.2 Правил).

Для удобства клиентов - владельцев счетов в Банке имеется возможность выпустить дополнительную банковскую карту к счету на третье лицо на основании соответствующего заявления, заполненного клиентом.

В рассматриваемой ситуации дополнительная карта выпускается к счету, владельцем которого является Клиент, а не третье лицо, на которого выпускается карта.

Дополнительная карта дает возможность держателю распоряжаться денежными средствами, находящимися на счете Клиента и именно Клиент определяет, кому именно он предоставляет доступ к денежным средствам, размещенным на его счете.

12.04.2025 ФИО2 (клиент Банка) оформила дополнительную карту к своему счету на третье лицо (Заявителя) на основании соответствующего заявления, заполненного Клиентом. Карта выдана владельцу основного счета - Клиенту.

При таких обстоятельствах, поскольку в рассматриваемой ситуации ФИО1 является выгодоприобретателем, обработка её персональных данных осуществлялась в целях исполнения договора о предоставлении и использовании банковской карты в соответствии с пунктом 5 части 1 статьи 6 Закона N 152-ФЗ.

Учитывая изложенное, суд приходит к выводу о том, что материалами дела не подтверждается наличие в действиях Общества события и состава административного правонарушения, ответственность за которое предусмотрена частью 1 статьи 13.11 КоАП РФ, в связи с чем оснований для удовлетворения требований не имеется.

Руководствуясь статьями 167-170, 176 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

РЕШИЛ:


Отказать в удовлетворении требования Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу о привлечении Банка ВТБ (публичное акционерное общество) (адрес: 191144, г.Санкт-Петербург, пер. дегтярный, д. 11 литер А, ОГРН: <***>, Дата присвоения ОГРН: 22.11.2002, ИНН: <***>, КПП: 784201001) к административной ответственности, предусмотренной частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.

Решение может быть обжаловано в Тринадцатый арбитражный апелляционный суд в течение десяти дней со дня его принятия.


Судья                                                                            Котлов Р.Э.



Суд:

АС Санкт-Петербурга и Ленинградской обл. (подробнее)

Истцы:

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу (подробнее)

Ответчики:

ПАО Банк ВТБ (подробнее)

Судьи дела:

Котлов Р.Э. (судья) (подробнее)