Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. N 04АП-968/2010
г. Чита |
Дело N А19-25289/2009 |
"17" января 2011 г. |
|
Резолютивная часть постановления объявлена 14 января 2011 года.
Полный текст постановления изготовлен 17 января 2011 года.
Четвертый арбитражный апелляционный суд в составе председательствующего судьи Доржиева Э.П., судей Желтоухова Е.В., Ячменева Г.Г., при ведении протокола судебного заседания секретарем судебного заседания Жалсановым Б.Ц., рассмотрев в открытом судебном заседании апелляционную жалобу Акционерного коммерческого банка "Радиан" (открытое акционерное общество) на решение Арбитражного суда Иркутской области от 28 октября 2010 года по делу N А19-25289/2009, по заявлению Акционерного коммерческого банка "Радиан" (открытое акционерное общество) (ОГРН 1023800000014, ИНН 3810006800) к Управлению Федеральной службы по надзору в сфере связи и массовых коммуникаций по Иркутской области о признании недействительными акта проверки и предписания в части (суд первой инстанции Позднякова Н.Г.),
при участии в судебном заседании:
от заявителя: не явился, извещен; от ответчика: не явился, извещен;
установил:
Акционерный коммерческий банк "Радиан" (открытое акционерное общество) (далее АКБ "Радиан" (ОАО), банк) обратился в Арбитражный суд Иркутской области с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (далее Управление Роскомнадзора по Иркутской области) о признании недействительными акта проверки от 30.09.2009. N 38-0266 и предписания об устранении выявленного нарушения от 30.09.2009 N 38-10/056 в части нарушения АКБ "Радиан" требований ч.7 ст.22 Федерального закона "О персональных данных" - не уведомление уполномоченного органа об общих описаниях используемых оператором способов обработки персональных данных (пункт 7.1 акта проверки, подпункт 6 пункта 1 приложения к акту проверки).
Решением Арбитражного суда Иркутской области от 9 февраля 2010 года в удовлетворении требования о признании недействительным предписания от 30.09.2009 N 38-10/056 отказано. Производство по делу в части признании недействительным акта проверки от 30.09.2009 N 38-266 прекращено.
Постановлением Четвертого арбитражного апелляционного суда от 14 мая 2010 года решение суда оставлено без изменения.
Постановлением Федерального арбитражного суда Восточно-Сибирского округа от 17 августа 2010 года решение Арбитражного суда Иркутской области от 9 февраля 2010 года по делу N А19-25289/2009, постановление Четвертого арбитражного апелляционного суда от 14 мая 2010 года по тому же делу отмены. Дело направлено на новое рассмотрение в Арбитражный суд Иркутской области.
При новом рассмотрении решением Арбитражного суда Иркутской области от 28 октября 2010 года в удовлетворении заявленных требований о признании недействительным предписания от 30.09.2009 N 38-10/056 отказано. Производство по делу в части признания недействительным акта проверки от 30.09.2009 N38-0266 прекращено. В обоснование суд указал, что предписание от 30.09.2009 N 38-10/056 об устранении обществом нарушения части 7 статьи 22 Закона о персональных данных вынесено Управлением Роскомнадзора по Иркутской области в пределах, предоставленных ему полномочий, в соответствии с требованиями Закона о защите персональных данных, Закона N294-ФЗ, и не нарушает прав и законных интересов заявителя. Оспариваемый заявителем акт проверки не обладает признаками ненормативного правового акта, поскольку не содержит властно-распорядительных предписаний для лица, в отношении которого он вынесен, не порождает изменений в его правах и обязанностях. Данный документ является носителем информации в отношении результатов проверки. Акт от 30.09.2009 N 38-0266, составленный по результатам указанной проверки, не является решением, принятым в соответствии с частью 2 статьи 23 Закона о персональных данных.
Не согласившись с решением суда первой инстанции, Акционерный коммерческий банк "Радиан" (открытое акционерное общество) обратилось в арбитражный суд апелляционной инстанции с апелляционной жалобой, в которой просит его отменить, принять по делу новый судебный акт. Указано, что для признания обработки персональных данных "автоматизированной" необходимо, чтобы такая обработка осуществлялась с применением автоматизированных средств (средств автоматизации). Из определения автоматизированной системы, приведенного в ГОСТ 34.003-90, не представляется возможным вывести определение автоматизированных средств (средств автоматизации) и не представляется возможным определить, что в состав комплекса средств автоматизации могут входить технические средства, в том числе, позволяющие осуществлять функцию обработки персональных данных. При этом не приняты доводы заявителя о том, что в соответствии с пунктами 1 и 2 "Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утвержденного постановлением Правительства Российской Федерации N 687 от 15 сентября 2008 года "обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека". Нормативными актами при разграничении обработки персональных данных на автоматизированную и без использования средств автоматизации не используется такой критерий как "цель операции с персональными данными". При этом в указанном Положении раскрываются условия, при которых обработка персональных данных будет считаться без использования средств автоматизации (не автоматизированной). Термин "автоматизированная обработка" может быть определен с использованием метода исключения. Для этого необходимо определить, при каких условиях обработка персональных данных будет осуществляться без использования средств автоматизации. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Таким образом, "средством автоматизации" является не любое техническое средство, а только такое техническое средство, при применении которого использование, уточнение, распространение, уничтожение персональных данных осуществляется без непосредственного участия человека. В связи с чем, судом неверно определен термин "автоматизированная обработка" и "средства автоматизации", не применен нормативный акт, который должен был быть применен к отношениям, возникающим при обработке персональных данных заявителем. Более того, в материалах дела присутствуют доказательства, того, что использование, уточнение, распространение, уничтожение персональных данных в АКБ "Радиан" (ОАО) при использовании технических средств осуществляется при непосредственном участии человека. Данный факт подтверждается письмом ООО НПФ "Форус" от 13.10.2010. В соответствии с указанным письмом ООО НПФ "Форус" "1С: Зарплата и управление персоналом" и система "Контур-Экстерн" - это разные информационные системы. Письмо Управления Федеральной службы по техническому и экспортному контролю по Сибирскому Федеральному округу от 18 ноября 2009 года N 1372 не обладает статусом нормативно-правового документа, не является результатом экспертного исследования. Таким образом, суд принял решение на основании документа, не отвечающего признаку относимости, чем допустил нарушение норм процессуального права. Судом прекращено производство по делу в части признания недействительным акта проверки органом государственного контроля (надзора) юридического лица от 30 сентября 2009 года N 38-0266 в части неуведомления уполномоченного органа об общих описаниях используемых оператором способов обработки персональных данных. Поскольку заявитель не осуществляет "автоматизированную обработку" персональных данных, следовательно, Акт в оспариваемой части не соответствует Закону "О персональных данных" и иным правовым актам. Акт проверки является единственным документом, содержащим факты, выводы о выявленных нарушениях или соблюдении требований законодательства Российской Федерации и влечет юридические последствия для проверяемого. Более того, законом не предусмотрена обязанность органа государственного контроля (надзора) рассмотреть возражения юридического лица, индивидуального предпринимателя, проверка которых проводилась, в случае несогласия с фактами, выводами, предложениями, изложенными в акте проверки и дать им оценку. Прекращая производство по делу, суд фактически лишил заявителя права на защиту своих прав, что в силу пункта 1 статьи 46 Конституции Российской Федерации не допускается.
Представитель заявителя в судебное заседание не явился, о времени и месте судебного заседания извещен надлежащим образом, что подтверждается почтовыми уведомлениями N 672000 32 89456 0 от 07.12.2010 (определение о принятии апелляционной жалобы) и N N 672000 32 91297 4 от 21.12.2010 (определение об исправлении опечатки). Представитель ответчика в судебное заседание не явился, о времени и месте судебного заседания извещен надлежащим образом, что подтверждается почтовыми уведомлениями N 672000 32 89455 3 от 07.12.2010 (определение о принятии апелляционной жалобы) N 672000 32 91296 7 от 20.12.2010 и N 672000 32 91298 1 от 20.12.2010 (определение об исправлении опечатки). Руководствуясь пунктом 3 статьи 156, пунктом 1 статьи 123 Арбитражного процессуального кодекса Российской Федерации, суд считает возможным рассмотреть дело в отсутствие надлежащим образом извещенных лиц, участвующих в деле.
Дело рассматривается в порядке, предусмотренном главой 34 Арбитражного процессуального кодекса Российской Федерации.
Изучив материалы дела и проверив соблюдение судом первой инстанции норм материального и процессуального права, суд апелляционной инстанции приходит к следующим выводам.
11.08.2008 АКБ "Радиан" (ОАО) подал уведомление об обработке персональных данных в адрес Управления Роскомнадзора (вх.2764 от 11.08.2009), которое в дальнейшем внесено в реестр операторов обрабатывающих персональные данные.
09.07.2009 АКБ "Радиан" (ОАО) сопроводительным письмом (вх. N 2331 от 11.08.2009) представлено в Управление Роскомнадзора по Иркутской области уведомление об обработке персональных данных, согласно которому АКБ "Радиан" (ОАО) в качестве сведений о перечне действий с персональными данными, общем описании используемых оператором способов обработки персональных данных отражено, что обработка указанных в уведомлении персональных данных будет осуществляться путем неавтоматизированной обработки персональных данных: сбор, накопление, хранение, уточнение (обновление, изменение), использование, уничтожение персональных данных.
Управлением Роскомнадзора по Иркутской области на основании приказа от 09.09.2009. N 70-П в период с 21.09.2009 по 30.09.2009 проведена плановая проверка в отношении АКБ "Радиан" (ОАО) по вопросам соблюдения обществом обязательных требований законодательства в области персональных данных.
В ходе проверки выявлен факт нарушения АКБ "Радиан" требований ч.7 ст.22 Федерального закона "О персональных данных", выразившегося в не уведомлении уполномоченного органа об общих описаниях используемых оператором способов обработки персональных данных, что нашло отражение в пункте 7.1 акта проверки, подпункте 6 пункта 1 приложения к акту проверки.
По результатам проверки Управлением Роскомнадзора по Иркутской области заявителю выдано предписание 30.09.2009 N 38-10/056, согласно которому обществу предписано в срок до 01.04.2010 устранить нарушения положений части 7 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
АКБ "Радиан" (ОАО) полагая, что акт проверки и предписание нарушают его права и законные интересы, обратился в арбитражный суд с заявлением о признании их незаконными в указанной части.
Федеральный арбитражный суд Восточно-Сибирского округа, направляя дело на новое рассмотрение в суд первой инстанции указал, что поскольку АКБ "Радиан" (ОАО), по утверждению Управления Роскомнадзора по Иркутской области, должен был совершить действия по внесению изменений в уведомление от 09.07.2009 по факту обработки персональных данных, следовательно, суд должен был выяснить вопрос о том, какие операции с персональными данными имели место (сбор, систематизация и так далее) при использовании информационных систем, указанных в судебном акте первой инстанции. В судебных актах по делу не раскрыто содержание предписания, не установлено, допустило ли общество действия по невнесению изменений в пункты 3, 4, 6 уведомления от 09.07.2009, либо только по вопросу изменения общего описания использованных оператором способов обработки персональных данных. Судом не дан ответ на вопрос о том, не является ли в данном случае акт проверки решением уполномоченного органа по защите прав субъектов персональных данных, которое в силу части 6 статьи 23 Федерального закона N 152-ФЗ может быть обжаловано в судебном порядке. При новом рассмотрении дела суду следует установить в полном объеме обстоятельства, имеющие значение для дела, а также указать мотивы, по которым суд принял или отклонил приведенные в обоснование своих требований и возражений доводы лиц, участвующих в деле.
В силу части 2 статьи 289 Арбитражного процессуального кодекса Российской Федерации указания суда кассационной инстанции, в том числе на толкование закона, изложенные в его постановлении об отмене решения, постановления судов первой, апелляционной инстанций, обязательны для арбитражного суда, вновь рассматривающего данное дело.
В соответствии с частью 1 статьи 23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), утвержденного постановлением Правительства Российской Федерации от 16.03.2009 N 228, уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, в полномочия которого входит осуществление контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (пункт 5.1.1.4 Положения).
В соответствии с пунктом 1 части 1 статьи 17 Закона N 294-ФЗ в случае выявления при проведении проверки нарушений юридическим лицом, индивидуальным предпринимателем обязательных требований или требований, установленных муниципальными правовыми актами, должностные лица органа государственного контроля (надзора), органа муниципального контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны выдать предписание юридическому лицу, индивидуальному предпринимателю об устранении выявленных нарушений с указанием сроков их устранения.
Таким образом, предписание от 30.09.2009 г. N 38-10/056 об устранении обществом нарушения части 7 статьи 22 Закона о персональных данных вынесено Управлением Роскомнадзора по Иркутской области в пределах, предоставленных ему полномочий.
Проверка в отношении АКБ "Радиан" (ОАО) была проведена в соответствии с Приказом Управления Роскомнадзора от 09.09.2009 N 70-п в порядке, определенном Федеральным законом от 26.12.2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон N 294-ФЗ).
Согласно части 1 статьи 16 Закона N 294-ФЗ по результатам проверки должностными лицами органа государственного контроля (надзора), органа муниципального контроля, проводящими проверку, составляется акт по установленной форме в двух экземплярах. Типовая форма акта проверки устанавливается уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.
В соответствии с пунктом 7 части 4 Закона N 294-ФЗ в акте проверки указываются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований и требований, установленных муниципальными правовыми актами, об их характере и о лицах, допустивших указанные нарушения.
Акт проверки оформляется непосредственно после ее завершения в двух экземплярах, один из которых с копиями приложений вручается руководителю, иному должностному лицу или уполномоченному представителю юридического лица, индивидуальному предпринимателю, его уполномоченному представителю под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки (часть 4 Закона N 294-ФЗ).
Акт проверки от 30.09.2009 г. N 38-0266, составленный в соответствии с требованиями Закона N 294-ФЗ, является документом, в котором отражены результаты проверки, включающий в себя информацию, полученную в ходе ее проведения. В соответствии с пунктом 9 акта проверки от 30.09.2009 N38-0266 к нему приложены документы по перечню из 17 пунктов.
Рассматривая требования заявителя о признании недействительным акта проверки, суд первой инстанции обоснованно, учитывая правовую позицию, изложенную в Определении Конституционного Суда РФ от 27.05.2010г. N 766-О-О, в Определениях ВАС РФ от 18.02.2009 г. N 16371/08, от 16.04.2009 г. N ВАС-3886/09, от 26.10.2009 г. N ВАС-13213/09, в Постановлении Президиума ВАС РФ от 17.02.2009г. N 14338/08, прекратил производство по делу в указанной части.
Так, требование о признании недействительным акта проверки заявлено в порядке статьи 198 Арбитражного процессуального кодекса РФ. Согласно части 1 статьи 198 Арбитражного процессуального кодекса РФ граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.
Для обладания признаками ненормативного правового акта, решения государственного органа, оспариваемый акт должен носить властный или публичный характер и быть направленным на установление, изменение или прекращение прав и обязанностей каких-либо лиц. Оспариваемый заявителем акт проверки не обладает указанными признаками ненормативного правового акта, поскольку не содержит властно-распорядительных предписаний для лица, в отношении которого он вынесен, не порождает изменений в его правах и обязанностях. Данный документ является носителем информации в отношении результатов проверки.
Суд первой инстанции правильно пришел к выводу, что оспариваемый акт проверки не может быть признан решением уполномоченного органа по защите прав субъектов персональных данных, которое может быть обжаловано в судебном порядке в соответствии с ч.6 ст.23 Закона о персональных данных.
Доводы о том, что суд фактически лишил заявителя права на защиту своих прав, что в силу пункта 1 статьи 46 Конституции Российской Федерации не допускается, не могут быть приняты во внимание. Заявитель фактически реализовал свое конституционное право на защиту нарушенного права, обжалуя в судебном порядке предписание уполномоченного органа, основанное на указанном акте проверки. В ходе судебной проверки названного предписания на соответствие закону суд фактически проверил доводы заявителя, приводившиеся при обжаловании акта проверки.
Рассматривая по существу заявленные требования в остальной части, суд первой инстанции правомерно пришел к выводу об их необоснованности в виду следующего.
В силу пункта 2 статьи 3 Закона о персональных данных АКБ "Радиан" (ОАО) является оператором, т.е. юридическим лицом, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
Персональными данным в силу пункта 1 названной статьи является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В соответствии с частью 1 статьи 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 данной статьи.
Согласно пункту 3 статьи 22 Закона о персональных данных уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (пункт 4 статьи 22 названного закона).
Приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 N 08 "Об утверждении образца формы уведомления об обработке персональных данных" рекомендованы к использованию утвержденные настоящим приказом форма уведомления и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
В соответствии с пунктом 7 статьи 22 Закона о персональных данных в случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Таким образом, в случае изменении сведений о перечне действий с персональными данными, общем описании используемых оператором способов обработки персональных данных, оператор обязан уведомить об этих изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Заявитель в обоснование заявленного требования указал, что при ведении кадрового учета, при начислении заработной платы и совершения банковских операций с физическими лицами (открытие вклада, перевод денежных средств) обработка персональных данных осуществляется без использования средств автоматизации, в связи с чем установление Управлением Роскомнадзора по Иркутской области по результатам проверки факта осуществления обработки персональных данных клиентов и работников АКБ "Радиан" (ОАО) путем смешанной обработки является неправомерным и незаконно возлагает на заявителя дополнительные обязанности по обеспечению безопасности персональных данных, содержащихся в информационной системе.
Данные доводы обоснованно были отклонены судом первой инстанции.
Пунктом 1 статьи 1 Закона о персональных данных предусмотрено, что настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Указанный федеральный закон не раскрывает понятие обработки персональных данных с использованием средств автоматизации (автоматизированная).
Основные принципы защиты данных личного характера получили закрепление в Конвенции Совета Европы N 108 "О защите частных лиц в отношении автоматизированной обработки данных личного характера". (Страсбург, 28 января 1981г.). Эти принципы отражают требования, предъявляемые:
к качеству данных (получены и обработаны законным путем, зарегистрированы с определенной и законной целью и не используются вразрез с этой целью и др.);
особым категориям данных (данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни, подлежат автоматизированной обработке только в том случае, если законодательство предоставляет надлежащие гарантии; аналогичное правило применяется относительно данных личного характера, связанных с уголовным осуждением);
безопасности данных (приняты надлежащие меры безопасности для защиты данных личного характера, зарегистрированных в автоматизированных картотеках, от случайного или неразрешенного разрушения или от случайной утери, а также от неразрешенных доступа к ним, изменения или распространения);
дополнительным гарантиям для лица (любое лицо должно иметь возможность: узнать о существовании автоматизированной картотеки данных личного характера, ее цели; получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме; требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений законодательства, и т.д.).
Россия ратифицировала Конвенцию (Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" ) со следующими заявлениями:
1) Российская Федерация заявляет, что не будет применять Конвенцию к персональным данным: а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне;
2) Российская Федерация заявляет, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) Российская Федерация заявляет, что оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
В соответствии с пунктом "с" статьи 2 Конвенции о защите личности в связи с автоматизированной обработкой персональных данных "автоматизированная обработка" включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
В соответствии с частью 4 статьи 15 Конституции Российской Федерации общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
В силу пункта 1 статьи 4 Закона о персональных данных законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Согласно пункту 3 статьи 3 Закона о персональных данных под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Следовательно, под автоматизированной обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, с использованием полностью или частично средств автоматизации.
Межгосударственным стандартом ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения", устанавливающим термины и определения основных понятий в области автоматизированных систем, используемых в различных сферах деятельности, содержанием которых является переработка информации, определено, что комплекс средств автоматизации автоматизированной системы - совокупность всех компонентов автоматизированной системы, за исключением людей (пункт 2.12). При этом под автоматизированной системой понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Таким образом, в состав комплексов средств автоматизации могут входить технические средства, позволяющие осуществлять функцию обработки персональных данных.
В соответствии с пунктом 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 г. N 781, под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Проанализировав указанные нормы, суд первой инстанции правомерно указал, что под автоматизированной обработкой персональных данных следует понимать действия (операции) с персональными данными, включая, сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, с использованием полностью или частично средств автоматизации, включающих в себя технические средства, позволяющие осуществлять функцию обработки персональных данных (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах).
Согласно Приложению N 1 к акту проверки от 30.09.2009 N 38-0266 заявитель производит обработку персональных данных клиентов и работников АКБ "Радиан" путем смешанной обработки персональных данных: автоматизированная обработка персональных данных - информация, полученная в ходе обработки персональных данных, передается по внутренней сети оператора, данная информация не передается с использованием сети общего пользования (Интернет); неавтоматизированная обработка персональных данных- ведение трудовых книжек, личных дел работников, учет и хранение договоров, заключенных с физическими лицами.
Исходя из прилагаемых к акту проверки документов, применение автоматизированной обработки персональных данных в ходе проверки с достоверностью установлено в отношении такой категории субъектов персональных данных, как работники, состоящие в трудовых отношениях с банком; обработка их персональных данных заключается в сборе, использовании, распространении, и осуществляется автоматизировано, путем использования информационной системы "1С:Зарплата и управление персоналом". Целью обработки персональных данных являются начисление заработной платы, предоставление определенной отчетности в Пенсионный фонд РФ. Ввиду ограниченности во времени иные информационные технологии и технические средства, применяемые банком при автоматизированной обработке персональных данных иных категорий субъектов, проверкой охвачены не были.
Данный факт подтверждается скриншотами из программы "1С:Зарплата и управление персоналом", частной моделью угроз безопасности информационной системы АКБ "Радиан" (ОАО), Положением о персональных данных АКБ "Радиан" от 02.02.2009, возражениями по акту проверки.
Программный продукт прикладной системы "1С: Зарплата и управление персоналом" предназначен для автоматизации расчета заработной платы и ведения кадрового, бухгалтерского и налогового учета на предприятиях различных типов финансирования и форм собственности, в частности, работодатель использует персональные данные сотрудников при начислении зарплаты, удержании налога на доходы физических лиц, расчете страховых взносов на обязательное пенсионное страхование и передает их с помощью средств автоматизации.
Формирование расчетного документа по заработной плате происходит после подачи команды рассчитать (путем нажатия на соответствующую опцию специалистом банка) и осуществляется автоматически системой "1С: Зарплата и управление персоналом". При этом она без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует и выдает по установленному алгоритму результат расчета. Только после этого соответствующий специалист распечатывает расчетный документ, который в дальнейшем порождает юридические последствия для субъекта. Аналогичный процесс происходит при расчете и удержании налога на доходы физических лиц.
При приеме на работу после занесения всех необходимых данных на работника прикладная система "1С: Зарплата и управление персоналом" автоматически формирует Анкету формы Т2 на работника. Прикладная система "1С: Зарплата и управление персоналом" также производит самостоятельно исчисление трудового стажа при помощи заданных алгоритмов и хранящихся персональных данных в базе данных прикладной системы "1С: Зарплата и управление персоналом".
В перечисленных случаях совершаются такие действия как сбор и использование персональных данных оператором. В связи с чем, суд первой инстанции обоснованно отклонил доводы заявителя о том, что сбор персональных данных осуществляется без использования средств автоматизации.
При ведении кадрового учета и начислении заработной платы обязанностью АКБ "Радиан" (ОАО), как страхователя, является составление и своевременное представление соответствующей отчетности в Пенсионный фонд Российской Федерации.
В рамках соблюдения требований законодательства по предоставлению данных персонифицированного учета в Пенсионный фонд РФ заявитель на основании заключенного соглашения по электронному документообороту формирует файлы и передает персональные данные своих работников (сведения о застрахованных лицах) по телекоммуникационным каналам связи, что подтверждается соглашением об обмене электронными документами в системе электронного документооборота ПФР по телекоммуникационным каналам связи от 15.08.2008, договором N СОЧИ-К/2007-536 на подключение и абонентское обслуживание в системе "Контур-Экстерн" от 13.08.2007, заключенным с ООО Научно-производственная фирма "Форус".
Оператор использует прикладную систему "1С: Зарплата и управление персоналом" и систему "Контур-Экстерн" (система защищенного электронного документооборота), которая позволяет осуществлять загрузку файлов отчетности из любой специализированной программы, представляющей возможность формирования отчетности в Пенсионный фонд РФ в форматах, утвержденных фондом.
В данном случае такой специализированной программой в АКБ "Радиан" (ОАО) является прикладная система - система управления базой персональных данных "1С: Зарплата и управление персоналом".
Следовательно, в прикладной системе "1С: Зарплата и управление персоналом" АКБ "Радиан" (ОАО) персональные данные формируются в виде отчетности в требуемых форматах автоматически путем внесения соответствующих персональных данных, извлекаемых их базы данных "1С". Затем эта информация, содержащая отчетные формы с персональными данными шифруется, подписывается ЭЦП и передается в ПФР при помощи системы "Контур-Экстерн".
В соответствии с требованиями "Технологии обмена документами индивидуального (персонифицированного) учета страховых взносов по телекоммуникационным каналам связи в системе электронного документооборота ПФ РФ", утв. Распоряжением Правления ПФ РФ N 190 от 11.10.2007 каждый абонент при предоставлении вышеуказанных данных должен, в том числе, проверять правильность подготовки отчета проверочной программой ПФ РФ. Таким образом, АКБ "Радиан" (ОАО) прежде чем осуществить отправку отчетных форм, содержащих информацию о персональных данных, запускает проверочную программу, которая автоматически осуществляет проверку без непосредственного участия пользователя.
Прикладная система "1С: Зарплата и управление персоналом" и система "Контур-Экстерн", используемые обществом для предоставления соответствующей отчетности в Пенсионный фонд РФ, относятся по определению к техническим средствам - средствам автоматизации и входят в одну единую информационную систему, обрабатывающую (использование и распространения) персональные данные работников АКБ "Радиан" (ОАО).
В данном случае имеется наличие таких действий как распространение (передача) персональных данных оператором (п.4 ст.3 Закона о персональных данных).
Кроме того, в данном процессе заявитель использует сертифицированные шифровальные (криптографические) средства, что подтверждается уведомлением об обработке персональных данных, от 09.07.2009, договором на подключение и абонентское обслуживание в системе "Контур-Экстерн" от 13.08.2007 г. N СОЧИ-К/2007-536. Данное обстоятельство свидетельствует о том, что оператор обеспечивает безопасность персональных данных при их обработке в информационных системах, с использованием информационных технологий и технических средств в соответствии с положениями п.2 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 N781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Таким образом, АКБ "Радиан" (ОАО) при осуществлении функций работодателя по формированию и предоставлению отчетности по персонифицированному учету в органы Пенсионного Фонда РФ использует средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, средства изготовления документов, программные средства (операционные системы, системы управления базами данных), средства защиты информации, т.е. технические средства.
Информационная система персональных данных представляет собой совокупность базы персональных данных, информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств (п.9 ст.3 Закона о персональных данных, п. 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных).
Управление Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, т.е. орган исполнительной власти (территориальный орган федерального органа исполнительной власти), уполномоченный в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченный орган в области экспортного контроля, и входящий в состав государственных органов обеспечения безопасности, в письме от 18.11.2009 г. N 1372 подтверждает осуществление АКБ "Радиан" (ОАО) обработки персональных данных с помощью средств автоматизации, путем реализации информационных технологий.
Довод заявителя о том, что Письмо Управления Федеральной службы по техническому и экспортному контролю по Сибирскому Федеральному округу от 18 ноября 2009 года N 1372 не обладает статусом нормативно-правового документа, не является результатом экспертного исследования и не может быть признано относимым доказательством со ссылкой на п.2 ст.67 Арбитражного процессуального Кодекса РФ, не может быть принят во внимание.
В соответствии с частью 2 статьи 67 Арбитражного процессуального кодекса Российской Федерации арбитражный суд не принимает поступившие в суд документы, содержащие ходатайства о поддержке лиц, участвующих в деле, или оценку их деятельности, иные документы, не имеющие отношения к установлению обстоятельств по рассматриваемому делу, и отказывает в приобщении их к материалам дела.
Из содержания данного письма не следует, что Управление ходатайствует о поддержке ответчика, его правовой позиции, или дает оценку его деятельности. В данном письме излагается мнение Управления, касающееся поставленных вопросов.
Таким образом, суд первой инстанции обоснованно исследовал данный документ и дал ему оценку в совокупности с иными доказательствами, имеющимися в материалах дела, как это предусмотрено п.4 ст.71 Арбитражного процессуального кодекса Российской Федерации.
Заявитель, ссылаясь на пункты 1 и 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 г. N 687, полагает, что такие действия с персональными данными, как использование, уточнение, распространение, уничтожение в отношении каждого субъекта персональных данных, осуществляются оператором при непосредственном участии человека, в связи с чем, обработка персональных данных, не может быть признана осуществляемой с использованием средств автоматизации. Аналогичные доводы приводятся в апелляционной жалобе.
Целью операций с персональными данными является не внесение и получение персональных данных в базу данных, а получение обработанной информации при использовании соответствующих программ, при этом, Управление Роскомнадзора по Иркутской области представило доказательство того, что при обработке персональных данных используются технические средства (средства автоматизации). Цель обработки персональных данных указана самим Банком в уведомлениях - это кадровый учет, т.е. в том числе, предоставление отчетности в органы Пенсионного Фонда РФ.
Ссылки заявителя на письмо ООО НПФ "Форус" от 13.10.2010 г. (ответ на запрос N 6176), как на доказательство отсутствия автоматизированной обработки персональных данных, являются не состоятельными, поскольку из указанного письма невозможно определить способ обработки персональных данных, существующий в АКБ Радиан (ОАО).
Кроме этого данный документ содержит информацию, описывающую функциональные возможности программного продукта 1С "Зарплата и управления персоналам" и системы "Контур-экстерн" с применением понятия информационной системы с точки зрения технических характеристик.
Исследовав и оценив представленные доказательства в совокупности и их взаимной связи, суд первой инстанции обоснованно пришел к выводу, что АКБ "Радиан" (ОАО), помимо неавтоматизированной обработки персональных данных, осуществляет обработку персональных данных также автоматизированным способом. Следовательно, ответчиком было допущено нарушение требований ч.7 ст.22 Федерального закона "О персональных данных", выразившегося в не уведомлении уполномоченного органа об общих описаниях используемых оператором способов обработки персональных данных.
Таким образом, суд первой инстанции, рассмотрев требования банка о признании недействительным предписания от 30.09.2009 г. N 38-10/056, не выходя за пределы заявленных требований, обоснованно отказал в их удовлетворении.
Иных доводов в апелляционной жалобе, за исключением не согласия с выводами суда о том, что банк наряду с неавтоматизированной обработкой персональных данных, осуществляет обработку персональных данных также автоматизированным способом, не приводилось.
На основании изложенного суд апелляционной инстанции не находит оснований для удовлетворения апелляционной жалобы и отмены решения суда первой инстанции.
При подаче апелляционной жалобы АКБ "Радиан" (ОАО) платежным поручением N 805 от 21.11.2010 уплатило государственную пошлину в размере 2000 руб. На основании статей 333.21, 333.40 Налогового кодекса Российской Федерации излишне уплаченная госпошлина в размере 1000 рубле й подлежит возврату.
Руководствуясь статьей 268, частью 1 статьи 269, статьей 271 Арбитражного процессуального кодекса Российской Федерации,
ПОСТАНОВИЛ
1.Решение Арбитражного суда Иркутской области от 28.10.2010г., принятое по делу N А19-25289/2009, оставить без изменения, апелляционную жалобу Акционерного коммерческого банка "Радиан" (ОАО) без удовлетворения.
2.Возвратить Акционерному коммерческому банку "Радиан" (ОАО) излишне уплаченную госпошлину в размере 1000 рублей.
3.Постановление вступает в законную силу со дня его принятия.
4.Постановление может быть обжаловано в Федеральный арбитражный суд Восточно-Сибирского округа в течение 2-х месяцев с даты принятия.
Председательствующий |
Э.П. Доржиев |
Судьи |
Г.Г. Ячменев |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Номер дела в первой инстанции: А19-25289/2009
Истец: Акционерный коммерческий банк "Радиан" (ОАО)
Ответчик: Управление Федеральной службы по надзору в сфере связи и массовых коммуникаций по Иркутской области