Постановление Шестого арбитражного апелляционного суда от 15.05.2012 N 06АП-1436/12

г. Хабаровск

15 мая 2012 г.

Дело N А16-1293/2011

Резолютивная часть постановления объявлена 10 мая 2012 года.

Полный текст постановления изготовлен 15 мая 2012 года.

Шестой арбитражный апелляционный суд в составе:

председательствующего Швец Е.А.

судей Балинской И.И. Песковой Т.Д.

при ведении протокола судебного заседания секретарем судебного заседания Стрекаловской О.О.

при участии в заседании:

от общества с ограниченной ответственностью Аудиторская компания "Эдип": Евсютина Ирина Владимировна, представитель по доверенности от 11.01.2012;

от Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области: Новицкая Яна Сергеевна, представитель по доверенности от 10.01.2012 N 12/02.

рассмотрев в судебном заседании апелляционную жалобу Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области на решение от 29.02.2012 по делу N А16-1293/2011 Арбитражного суда Еврейской автономной области принятое судьей Яниной С.В.

по заявлению общества с ограниченной ответственностью Аудиторская компания "Эдип" (ОГРН 1027900507282, ИНН 7901003313)

к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области (ОГРН 1042700147225)

о признании недействительным предписания N П-07821-08/27 от 25.11.2011

УСТАНОВИЛ:

общество с ограниченной ответственностью Аудиторская компания "Эдип" (далее - ООО АК "Эдип", общество) обратилось в Арбитражный суд Еврейской автономной области с заявлением о признании недействительным предписания N П-07821-08/27 от 25.11.2011, вынесенного Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Хабаровскому краю и Еврейской автономной области (далее - Управление Роскомнадзора, уполномоченный орган).

Решением от 29.02.2012 суд заявленные требования удовлетворил. Признал недействительным предписание административного органа от 25.11.2011 N П-07821-08/27, как несоответствующим требованиям статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Взыскал с Управления Роскомнадзора в пользу ООО АК "Эдип" 2 000 рублей судебных расходов в виде уплаченной государственной пошлины.

Не согласившись с судебным актом, уполномоченный орган обратился в Шестой арбитражный апелляционный суд с жалобой, в которой просит отменить решение суда и принять по делу новый судебный акт об отказе в удовлетворении заявленных требований, ввиду несоответствия выводов суда обстоятельствам дела.

Представитель Управления Роскомнадзора в судебном заседании поддержал доводы апелляционной жалобы, просил принять новый судебный акт об отказе в удовлетворении заявленных требований.

ООО АК "Эдип" в представленном отзыве, его представитель в судебном заседании, отклонили доводы апелляционной жалобы, просили решение суда первой инстанции оставить без изменения, как законное и обоснованное, апелляционную жалобу без удовлетворения.

Исследовав представленные материалы, обсудив доводы апелляционной жалобы, отзыва на нее, заслушав представителей лиц участвующих в деле, Шестой арбитражный апелляционный суд пришел к следующему.

В соответствии с планом проведения плановых проверок Управления Роскомнадзора на 2011 год, на основании приказа заместителя руководителя от 13.10.2011 N 643-П в период с 21.11.2011 по 25.11.2011 проведена плановая выездная проверка ООО "АК "Эдип" о соблюдении законодательства о персональных данных.

28.10.2011 общество уведомлено Управлением Роскомнадзора о проведении плановой выездной проверки, уведомление получено 01.11.2011.

В ходе проверки Управлением Роскомнадзора выявлено нарушение части 3 статьи 6 Закона о персональных данных, выразившихся в отсутствии в текстах договора N 42/08 от 01.09.2008 с ООО "КВФ "Навигатор" на выполнение работ по обслуживанию средств вычислительной техники, оборудования и программного обеспечения, используемого ООО АК "Эдип" и Соглашения N 136 от 08.08.2008 Об обмене электронными документами в системе электронного документооборота ПФР по телекоммуникационным каналам связи с Пенсионным фондом - перечня действий (операций) с персональными данными; обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при обработке, а также отсутствуют требования к защите персональных данных в соответствии с требованиями статьи 19 Закона о персональных данных, что отражено в акте проверки от 25.11.2011 N А-07807-08/27.

В сведениях о результатах проверки соблюдения законодательства РФ в области персональных данных ООО АК "Эдип" (приложение N 1 к акту проверки).

По результатам проверки Управлением Роскомнадзора обществу выдано предписание от 25.11.2011 N П-07821-08/27 об устранении выявленного нарушения части 3 статьи 6 Закона о персональных данных, выразившегося в отсутствии в текстах договоров /соглашений перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при обработке, а также отсутствуют требование к защите персональных данных в соответствии с требованиями статьи 19 Закона о персональных данных.

Не согласившись с указанным предписанием, ООО АК "Эдип" обратилось в арбитражный суд с настоящими требованиями.

Граждане, организации и иные лица вправе обратиться в арбитражный с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия осуществления предпринимательской и иной экономической деятельности (часть 1 стать 198 АПК РФ).

При рассмотрении дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта или его отдельных положений, оспариваемых решений и действий (бездействия) и устанавливает их соответствие закону или иному нормативному правовому акту, устанавливает наличие полномочий у органа или лица, которые приняли оспариваемый акт, решение или совершили оспариваемые действия (бездействие), а также устанавливает, нарушают ли оспариваемый акт, решение и действия (бездействие) права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности (часть 4 статьи 200 АПК РФ).

Из положений указанных статей следует, что основанием для принятия решения суда о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц являются одновременно два условия, несоответствие закону или иному нормативному правовому акту и нарушение прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности.

Суд первой инстанции, удовлетворяя исковые требования, пришел к выводу о наличии указанных двух условий. При этом обоснованно суд исходил из следующего.

В силу статьи 3 Закона о персональных данных персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (пункт 2 статьи 3 Закона о персональных данных).

Исходя из положений Закона о персональных данных, общество признается оператором персональных данных.

Согласно части 1 статьи 6 Закона о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Законом. Обработка персональных данных допускается, в частности, в случае, если обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В силу части 3 статьи 6 Закона о персональных данных (в редакции Федерального закона от 25.07.2011) оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

В соответствии со статьей 5 Федерального закона от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации" (далее -Федеральный закон N 167-ФЗ) обязательное пенсионное страхование в РФ осуществляется страховщиком, которым является Пенсионный фонд РФ. Согласно статье 5 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (далее - Федеральный закон N 27-ФЗ) Пенсионный фонд РФ также является органом, осуществляющим индивидуальный (персонифицированный) учет в системе обязательного пенсионного страхования.

ООО АК "Эдип" выступает страхователем. Общество обязано согласно статье 8 Федерального закона N 27-ФЗ представлять в соответствующий орган Пенсионного фонда РФ сведения о всех лицах, работающих у него по трудовому договору, а также заключивших договоры гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы, за которых он уплачивает страховые взносы.

Согласно части 2 статьи 8 Федерального закона N 27-ФЗ сведения, могут быть предоставлены в Пенсионный фонд РФ посредством пересылки по телекоммуникационным каналам связи (через Интернет) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений.

Статьей 17 Федерального закона N 27-ФЗ руководители и должностные лица органов Пенсионного фонда РФ, участвующие в соответствии с настоящим Федеральным законом в сборе, хранении, передаче и использовании сведений, содержащихся в индивидуальных лицевых счетах застрахованных лиц, обязаны обеспечить исполнение законодательства РФ по вопросам защиты конфиденциальной информации (персональных данных).

Между Пенсионным фондом РФ и ООО АК "Эдип" (абонент системы) заключено соглашение N 136 от 08.08.2008. Согласно пункту 1.3 указанного соглашения стороны признают, что использование в системе средств криптографической защиты информации (СКЗИ), которые реализуют шифрование и электронную цифровую подпись, достаточно для обеспечения конфиденциальности информационного взаимодействия сторон по защите от несанкционированного доступа и безопасности обработки информации.

01.12.2010 между Пенсионным фондом и обществом заключено дополнительное соглашение к соглашению N 136 от 08.08.2008 о дополнении раздела 5.1 и изложения его в следующей редакции: стороны договорились сохранять в режиме конфиденциальности сведения, полученные одной стороной в отношении другой в ходе исполнения обязательств по настоящему соглашению.

Как следует из соглашения N 136 от 08.08.2008, его предметом является обмен документами персонифицированного учета в электронном виде в рамках СЭД ПФР по телекоммуникационным каналам связи.

Таким образом, требование о соблюдении конфиденциальности распространяется, в том числе, как в силу условий соглашений, так и в силу требований действующего законодательства, на сведения, указанные в документах персонифицированного учета, содержащих персональные данные работников страхователя.

Согласно пункту 5.3 Соглашения N 136 от 08.08.2008 в редакции соглашения от 01.12.2010, Пенсионный фонд является координирующим органом в части криптографической защиты информации при организации взаимодействия абонентов и управлений Пенсионного фонда, организуя и обеспечивая безопасность хранения, обработки, проверки достоверности персональных данных и их передачи по каналам связи с использованием СКЗИ.

В указанном пункте перечислены действия (операции) с персональными данными, которые осуществляет Пенсионный фонд, а именно, организует и обеспечивает безопасность при: хранении, обработке, проверки достоверности и передаче.

Исходя из изложенного, в соглашении N 136 от 08.08.2008 с Пенсионным фондом и в дополнительном соглашении указаны: перечень действий (операций) с персональными данными; обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при обработке, имеются требования к защите персональных данных в соответствии с требованиями статьи 19 Закона о персональных данных.

ООО АК "Эдип" заключило с ООО "КВФ "Навигатор" договор N 42/08 от 01.09.2008 на выполнение работ по обслуживанию средств вычислительной техники, оборудования и программного обеспечения.

Вменяя обществу нарушение части 3 статьи 6 Закона о персональных данных, уполномоченный орган указал, что ООО АК "Эдип" поручило ООО "КВФ "Навигатор" обработку персональных данных, выраженную в доступе работников ООО "КВФ "Навигатор" к сведениям, содержащимся в базах оператора.

В силу статьи 19 Закона о персональных данных оператор персональных данных обязан принять необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Персональные данные работников общества и персональные данные работников клиентов общества обрабатываются в информационной системе "1С", что закреплено в приказе ООО АК "Эдип" и в Положении о порядке хранения персональных данных клиентов.

Данное обстоятельство не оспаривается ответчиком.

Постановлением Правительства РФ от 17.11.2007 N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение). Согласно пункту 2 Положения: безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

16.03.2010 вступил в силу Приказ ФСТЭК России N 58, согласно которому принято Положение о методах и способах защиты информации в информационных системах персональных данных. Методами и способами защиты информации от несанкционированного доступа являются, в том числе, реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации. Одним из основных методов и способов защиты информации является управление доступом - идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Из Положения о работе с персональными данными работников, Положения о порядке хранения персональных данных клиентов, приказа об установлении списка лиц, имеющих доступ к информационной системе "1С" в части обработки персональных данных работников, следует, что доступ к персональным данным работников имеют только уполномоченные на то приказом руководителя общества работники общества и только к тем данным, которые необходимы для выполнения конкретных функций.

Доступ к персональным данным работников клиентов общества также имеют только работники общества в пределах, необходимых для оказания услуг Заказчику, а также лица, привлеченные (к оказанию услуг по бухгалтерскому учету) на основании гражданско-правовых договоров.

Согласно Положению о порядке хранения персональных данных клиентов уполномоченные лица для предотвращения несанкционированного доступа к персональным данным обязаны каждый квартал менять пароль на каждую базу данных и сообщать об этом заместителю директора.

Доказательств того, что ООО "КВФ "Навигатор" имеет доступ при осуществлении работ по программному обеспечению непосредственно к персональным данным, содержащимся в информационной системе "1С", защищенным паролем, уполномоченным органом не представлено.

Учитывая, что: Соглашение от 08.08.2008 N 136 Об обмене электронными документами в системе электронного документооборота ПФР по телекоммуникационным каналам связи с Пенсионным фондом и дополнение к нему от 01.12.2010 содержат сведения, предусмотренные частью 3 статьи 6 Закона о персональных данных; материалами дела не подтверждено поручение ООО "КВФ "Навигатор" обработки персональных данных, суд первой инстанции обоснованно удовлетворил требования общества, признал спорное предписание недействительным.

Принимая во внимание положения норм материального и процессуального права, а также, учитывая конкретные обстоятельства по делу, арбитражный апелляционной суд считает, что доводы заявителя апелляционной жалобы, не содержат фактов, которые бы повлияли на обоснованность и законность решения суда, либо опровергли выводы суда первой инстанции, в связи с чем признаются судом апелляционной инстанции несостоятельными и не могут служить основанием для отмены обжалуемого судебного акта.

Руководствуясь статьями 258, 268-271 Арбитражного процессуального кодекса Российской Федерации, Шестой арбитражный апелляционный суд

ПОСТАНОВИЛ:

решение Арбитражного суда Еврейской автономной области от 29.02.2012 по делу N А16-1293/2011 оставить без изменения, апелляционную жалобу без удовлетворения.

Постановление вступает в законную силу со дня его принятия и может быть обжаловано в арбитражный суд кассационной инстанции в установленном законом порядке.

Председательствующий

Е.А. Швец

Судьи

И.И. Балинская Т.Д. Пескова