Постановление Пятнадцатого арбитражного апелляционного суда от 18.12.2012 N 15АП-14522/12

город Ростов-на-Дону

18 декабря 2012 г.

дело N А32-44892/2011

Резолютивная часть постановления объявлена 11 декабря 2012 года.

Полный текст постановления изготовлен 18 декабря 2012 года.

Пятнадцатый арбитражный апелляционный суд в составе:

председательствующего судьи Филимоновой С.С.

судей Н.Н. Смотровой, М.В. Соловьевой

при ведении протокола судебного заседания помощником судьи Ковалевой С.В.

при участии:

от заявителя: ведущий юрисконсульт Касьяненко М.В. паспорт, по доверенности N 2340 от 12.11.2012

от заинтересованного лица: ведущий специалист-эксперт Бахметьев А.А. паспорт, по доверенности от 11.09.2012

рассмотрев в открытом судебном заседании апелляционную жалобу

Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю и Республике Адыгея

на решение Арбитражного суда Краснодарского края от 17.09.2012 по делу N А32-44892/2011

по заявлению ЗАО "Банк Русский Стандарт"

к заинтересованному лицу Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю и Республике Адыгея

о признании недействительным предписания об устранении выявленного нарушения

принятое в составе судьи Лесных А.В.

УСТАНОВИЛ:

закрытое акционерное общество "Банк Русский Стандарт" (далее - общество, банк) обратилось в Арбитражный суд Краснодарского края с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю и Республике Адыгея (далее - Роскомнадзор, административный орган) о признании незаконными предписаний N П-23-10/00273 от 12.10.2011 г. и N П-23-10/00274 от 12.10. 2011 г. об устранении выявленных нарушений.

Решением Арбитражного суда Краснодарского края от 17.09.2012 г. заявленные требования удовлетворены, оспариваемые предписания признаны незаконными как несоответствующие Федеральному закону "О персональных данных".

Не согласившись с принятым судебным актом, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю и Республике Адыгея обжаловало его в порядке, предусмотренном гл. 34 АПК РФ, и просило отменить решение от 17.09.2012, считая его не основанным на положениях закона.

ЗАО "Банк Русский стандарт" в представленном отзыве, его представитель в судебном заседании, отклонил доводы апелляционной жалобы, просил решение суда первой инстанции оставить без изменения, как законное и обоснованное, апелляционную жалобу без удовлетворения.

Изучив материалы дела, оценив доводы апелляционной жалобы и отзыва на нее, выслушав представителей участвующих в деле лиц, арбитражный суд апелляционной инстанции пришел к выводу о том, что апелляционная жалоба не подлежит удовлетворению по следующим основаниям.

Как следует из материалов дела, в период с 16.09.2011 г. по 12.10.2011 г. Управлением Роскомнадзора по Краснодарскому краю и Республике Адыгея была проведена внеплановая документарная проверка (Приказ руководителя Управления Роскомнадзора от 12.09.2011 г. N 1032) в отношении ЗАО "Банк Русский Стандарт" с целью контроля исполнения ранее выданных предписаний об устранении выявленных нарушений обязательных требований от 27.05.2011 г. NN П-23-10/00153, П-23-10/00154, П-23-10/00155. По результатам указанной проверки должностными лицами Управления Роскомнадзора был составлен Акт проверки N А-23-ПД-10/00148 от 12.10.2011 г. и выданы предписания N П-23-10/00273 от 12.10.2011 г. и N П-23-10/00274 от 12.10.2011 г.

Согласно предписанию N П-23-10/00273 от 12.10.2011 г. в соответствии с перечнем документов, установленным п. 10. приказа о проведении внеплановой документарной проверки от 12.09.2011 года N 1032, ЗАО "Банк Русский Стандарт" не было предоставлено письменное согласие Хилая К.В. на передачу его персональных данных третьим лицам (ЗАО "Банк Русский Стандарт" по кредитному договору с Хилай К.В. N 49134486 переуступило долг (право требования) третьему юридическому лицу), передача которых осуществлялась банком, что свидетельствует о его отсутствии и является нарушением требований п. 1 ч. 1 ст. 6 Федерального закона "О персональных данных" от 27.07.2006 года N 152-ФЗ.

Согласно предписанию N П-23-10/00274 от 12.10.2011 г. в соответствии с перечнем документов, установленным п. 10. приказа о проведении внеплановой документарной проверки от 12.09.2011 года N 1032, банком не были представлены документы, устанавливающие перечень лиц, осуществляющих обработку персональных данных гр. Хилая К.В., либо имеющих к ним доступ, что свидетельствует об их отсутствии и является нарушением требований п. 13 постановления Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Указанными предписаниями Управлением был установлен срок устранения нарушений - не позднее 12.12.2011 г., при этом необходимо было письменно, с приложением подтверждающих документов, сообщить в Управление Роскомнадзора об устранении нарушений.

Общество не согласилось с выданными предписаниями, полагая, что оно не допустило нарушение требований законодательства, вменяемое ему административным органом и обжаловало предписания в судебном порядке.

Удовлетворяя заявленные требования, суд первой инстанции правомерно руководствовался следующим.

В силу части 1 статьи 198 Арбитражного процессуального кодекса Российской Федерации граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.

Согласно части 4 статьи 200 Арбитражного процессуального кодекса Российской Федерации при рассмотрении дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта или его отдельных положений, оспариваемых решений и действий (бездействия) и устанавливает их соответствие закону или иному нормативному правовому акту, устанавливает наличие полномочий у органа или лица, которые приняли оспариваемый акт, решение или совершили оспариваемые действия (бездействие), а также устанавливает, нарушают ли оспариваемый акт, решение и действия (бездействие) права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности.

Таким образом, для признания ненормативного акта недействительным, решения и действия (бездействия) незаконными необходимо наличие одновременно двух условий: несоответствие их закону или иному нормативному правовому акту и нарушение прав и законных интересов заявителя в сфере предпринимательской или иной экономической деятельности.

Порядок доступа к персональным данным граждан (физических лиц) установлен федеральным законом о персональных данных.

Согласно статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - закон N152-ФЗ) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Целью указанного Закона N 152-ФЗ в силу статьи 2 является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Из материалов дела следует, что между ЗАО "Банк Русский Стандарт" и Хилаем Кириллом Владимировичем был заключён кредитный договор N 49134486 от 24.05.2006 г. Указанный кредитный договор заключён в порядке ст. ст. 160, 432, 434, 438 ГК РФ путём принятия (акцепта) банком предложения (оферты) Хилая К.В., изложенного в его заявлении от 24.05.2006 г., Условиях предоставления и обслуживания кредитов и Тарифах ЗАО "Банк Русский Стандарт" по кредитам "Русский Стандарт", которые являются составными и неотъемлемыми частями кредитного договора.

Федеральный закон "О персональных данных" N 152-ФЗ вступил в силу 26.01.2007 г., т.е. более чем через 8 месяцев после даты заключения банком и Хилаем К.В. кредитного договора. Таким образом, при заключении договора письменного согласия Хилая К.В. на обработку его персональных данных, в том числе на передачу его персональных данных третьим лицам, не требовалось.

В соответствии с п. 5 ч. 1 ст. 6 ФЗ "О персональных данных" обработка персональных данных допускается в случае, если такая обработка необходима для исполнения договора, стороной которого является субъект персональных данных. При этом в указанном случае обработки персональных данных законодатель не предусматривает необходимости наличия у оператора персональных данных согласия субъекта персональных данных, являющегося стороной по договору, на обработку его персональных данных.

В соответствии с п. 3 ст. 3 ФЗ "О персональных данных" под обработкой персональных данных законодателем понимаются следующие действия - действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Из анализа указанных норм следует, что предусмотренное п. 5 ч. 1 ст. 6 ФЗ "О персональных данных" право оператора на необходимую для исполнения договора обработку персональных данных субъекта, являющегося стороной этого договора, предусматривает, в том числе, и правомочие оператора на передачу (распространение, предоставление, доступ) персональных данных субъекта.

Таким образом, законодательством ни при заключении кредитного договора от 24.05.2006 года, ни после вступления в силу ФЗ "О персональных данных" не была предусмотрена обязанность банка, обрабатывающего персональные данные Хилая К.В. исключительно в целях исполнения договора, по получению письменного согласия Хилая К.В. на обработку его персональных данных.

Также суд установил, что согласно п. 9.9. Условий предоставления и обслуживания кредитов, действовавших на дату заключения с Хилаем К.В. кредитного договора, банк вправе уступить полностью или частично свои права требования по договору третьему лицу, при этом (согласно пп. 9.9.1. указанных условий) банк вправе раскрывать такому третьему лицу, а также его агентам и уполномоченным лицам необходимую для совершения такой уступки информацию о кредите/задолженности, клиенте и заложенном товаре.

Таким образом, суд правомерно пришел к выводу, что заемщик, подписав договор, выражает свое безусловное согласие кредитору на обработку его персональных данных согласно законодательству в целях, указанных в договоре, различными способами.

Право стороны обязательства производить уступку (передачу) своего права требования другому лицу предусмотрено ст. 382 Гражданского кодекса РФ. При этом гражданские права участников гражданских правоотношений в силу п. 2 ст. 1 ГК РФ могут быть ограничены только на основании федерального закона. ФЗ "О персональных данных" не содержит норм, ограничивающих право банка на уступку своих прав требования другим лицам.

В силу п. 2 ст. 385 Гражданского кодекса Российской Федерации, кредитор, уступивший требование другому лицу, обязан передать ему документы, удостоверяющие право требования, и сообщить сведения, имеющие значение для осуществления требования. Поскольку банком было уступлено (передано) третьему лицу право требования, возникшее в рамках кредитного договора с Хилаем К.В., а именно право требования по погашению задолженности по договору, суд приходит к выводу, что передача персональных данных Хилая К.В. при уступке банком своего права требования третьему лицу не выходит за рамки предусмотренной законом цели - исполнение договора, стороной которого является субъект персональных данных. Доказательств обработки банком персональных данных Хилая К.В. в целях иных, нежели исполнение договора, Управлением Роскомнадзора не представлено.

Таким образом, уступка банком права требования задолженности по кредитному договору, заключённому с Хилаем К.В., третьему лицу не противоречит ФЗ "О персональных данных".

Также банку вменялось отсутствие документов, устанавливающих перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Однако судом установлено, что в ходе проведения проверки банк предоставил в Управление Роскомнадзора Положение об организации работы с персональными данными в ЗАО "Банк Русский Стандарт", утверждённое приказом банка N 1350 от 28 июня 2011 года.

Указанный локальный нормативный акт банка наряду с действующим законодательством РФ о защите персональных данных, определяет порядок получения и обработки, в том числе передачи, персональных данных физических лиц в ЗАО "Банк Русский Стандарт".

Согласно п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого Постановлением Правительства РФ от 15.09.2008 года N 687, обработка персональных данных без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

При этом указанным Положением Правительства РФ не установлена для операторов персональных данных обязанность разработать и утвердить локальные акты, устанавливающие места хранения персональных данных (материальных носителей) и перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Указанный нормативный акт Правительства РФ предусматривает обеспечение принципа организации обработки персональных данных операторами, в соответствии с которым в любой момент времени должна иметься возможность определить и место хранения персональных данных субъекта, и установить перечень лиц, обрабатывающих либо имеющих доступ к персональным данным субъекта.

Судом установлено, что в Положении об организации работы с персональными данными в ЗАО "Банк Русский Стандарт" (далее - Положение банка о персональных данных) содержатся нормы, необходимые для соблюдения указанных требований п. 13 Положения Правительства РФ, а именно:

- в соответствии с п. 2.1.3.1. Положения банка о персональных данных, персональные данные физических лиц, состоящих в договорных отношениях с ЗАО "Банк Русский Стандарт", содержатся в анкетах, заявлениях, договорах, документах, относящихся к исполнению данных договоров и других документах, а также в Информационной системе персональных данных банка,

- в соответствии с п. 3.4.2.1. Положения банка о персональных данных, персональные данные физических лиц, состоящих в договорных (гражданско-правовых) отношениях с банком, хранятся в подразделениях банка, которые отвечают за взаимодействие с указанными субъектами, а также в электронном виде в Информационной системе персональных данных банка.

Таким образом, суд считает, что в ЗАО "Банк Русский Стандарт" имеется локальный нормативный акт - Положение об организации работы с персональными данными, позволяющий определить в любой момент времени место хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ в лице сотрудников соответствующих подразделений банка. Как следует из материалов дела, указанное Положение банка о персональных данных было представлено в Управление Роскомнадзора в ходе проведения проверки банка.

При таких обстоятельствах, суд апелляционной инстанции приходит к выводу о том, что наличие оснований для вынесения оспариваемых предписаний Управлением Роскомнадзора не доказано.

Приведенные Управлением доводы апелляционной жалобы направлены на иное толкование норм материального права, переоценку собранных судом первой инстанции доказательств, не опровергают выводов суда, были предметом исследования и оценки судом первой инстанции, необоснованность их отражена в судебном решении с изложением соответствующих мотивов, а равно не содержат обстоятельств, нуждающихся в дополнительной проверке.

Кроме того, предписание как ненормативный правовой акт, направленный на устранение выявленных нарушений, должно соответствовать требованию исполнимости, то есть содержать четкие указания на конкретные действия, которые следует совершить обязанному лицу в целях его надлежащего и своевременного исполнения, с тем, чтобы лицо, на которое возлагается обязанность по исполнению предписания, могло однозначно определить, какие действия и в какие сроки оно должно совершить в целях устранения выявленных нарушений и приведения существующих правоотношений в соответствие с положениями действующего законодательства, а также для избежания неблагоприятных последствий, которые может повлечь неисполнение предписания.

Несоблюдение требования об исполнимости предписания ставит оценку действий обязанного лица, направленных на исполнение предписания, в зависимость от субъективного мнения контролирующего органа, что также противоречит принципу правовой определенности и создает потенциальную возможность для злоупотреблений со стороны государственных органов в данной сфере.

В оспариваемых в рамках настоящего дела предписаниях конкретные действия, которые должен совершить заявитель для его исполнения, не указаны вовсе, что не позволяет признать данный ненормативный правовой акт соответствующим принципу исполнимости.

Нарушений норм процессуального законодательства, влекущих в силу статьи 270 АПК РФ отмену судебного акта, судом апелляционной инстанции не установлено; в связи с чем, решение суда первой инстанции, подлежит оставлению без изменения, апелляционная жалоба - без удовлетворения.

На основании изложенного, руководствуясь статьями 258, 269 - 271 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

ПОСТАНОВИЛ:

решение Арбитражного суда Краснодарского края от 17.09.2012 по делу N А32-44892/2011 оставить без изменения, апелляционную жалобу без удовлетворения.

В соответствии с частью 5 статьи 271, частью 1 статьи 266 и частью 2 статьи 176 Арбитражного процессуального кодекса Российской Федерации постановление арбитражного суда апелляционной инстанции вступает в законную силу со дня его принятия.

Постановление может быть обжаловано в порядке, определенном главой 35 Арбитражного процессуального кодекса Российской Федерации, в Федеральный арбитражный суд Северо-Кавказского округа.

Председательствующий

С.С. Филимонова

Судьи

Н.Н. Смотрова М.В. Соловьева