Постановление Девятого арбитражного апелляционного суда от 11.01.2023 N 09АП-84769/22 по делу N А40-139096/2022

г. Москва

11 января 2023 г.

Дело N А40-139096/2022

Резолютивная часть постановления объявлена 09 января 2023 года.

Постановление изготовлено в полном объеме 11 января 2023 года.

Девятый арбитражный апелляционный суд в составе:

председательствующего судьи Мухина С.М.,

судей:	Никифоровой Г.М., Попова В.И.,
при ведении протокола	секретарем судебного заседания Аграровой В.А.,

рассмотрев в открытом судебном заседании апелляционную жалобу Управления Роскомнадзора по ЦФО

на решение Арбитражного суда города Москвы от 20.10.2022 по делу N А40-139096/2022

по заявлению: общества с ограниченной ответственностью "Страховая компания "Арсеналъ"

к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу

о признании незаконными действий,

при участии:

от заявителя:	Горячев М.Д. по доверенности от 22.06.2022;
от заинтересованного лица:	Сардарян А.К. по доверенности от 23.08.2021, Родишевская К.П. по доверенности от 06.12.2022

УСТАНОВИЛ:

решением Арбитражного суда города Москвы от 20.10.2022, принятым по настоящему делу, удовлетворены требования общества с ограниченной ответственностью "Страховая компания "Арсеналъ" (заявитель, общество, ООО "СК "Арсеналъ") о признании незаконными действия Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (заинтересованное лицо, управление, Управление Роскомнадзора по ЦФО) по признанию неправомерной обработки персональных данных, осуществляемой заявителем с использованием официального сайта страховщика www.arsenalins.ru, и понуждению к прекращению такой обработки персональных данных, несоответствующими п. 1 ст. 3, ст. 6, ст. 10.1. Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных", п. 6 ст. 6, п. 11 ст. 8 Закона РФ от 27.11.1992 г. N 4015-1 "Об организации страхового дела в Российской Федерации", суд также обязал Управление Роскомнадзора по ЦФО устранить допущенное нарушение прав и законных интересов ООО "СК "Арсеналъ" в течение тридцати дней со дня вступления судебного акта в законную силу.

Не согласившись с решением суда, Управление Роскомнадзора по ЦФО обратилось в Девятый арбитражный апелляционный суд с апелляционной жалобой, в которой просило решение суда отменить. В судебном заседании представители поддержали доводы жалобы в полном объеме, указали, что запрос управления, направленный в адрес общества не содержал выводов о признании обработки персональных данных неправомерными, а был направлен лишь на получение информации о правовых основаниях обработки персональных данных.

Представитель Общества в судебном заседании возражал против удовлетворения жалобы по доводам отзыва, считает решение суда первой инстанции законным и обоснованным.

Повторно исследовав и оценив материалы дела, доводы апелляционной жалобы, проверив в порядке статей 266, 268 АПК РФ правильность применения судом первой инстанции норм материального и процессуального права, суд апелляционной инстанции признает, что обжалуемый судебный акт не подлежит отмене в силу следующего.

Как следует из фактических обстоятельств и материалов дела, 21.04.2022 в адрес ООО "СК "Арсеналъ" (Оператор), (вх. N 0949 от 21.04.2022) от Управления Роскомнадзора по ЦФО поступил запрос-требование исх. N 44928-09/77 от 20.04.2022 (Запрос-требование N 1) с приложением скриншотов разделов и интерфейсов сайта Общества www.arsenalins.ru, согласно которому в период с 11.04.2022 г. по 13.04.2022 Управлением в соответствии с поручением руководителя Роскомнадзора N 1112-дз/1 от 15.02.2022 и заданием о проведении мероприятия по контролю без взаимодействия с контролируемым лицом/контролируемыми лицами от 04.04.2022 N 39-нд, утвержденным уполномоченным заместителем руководителя Управления, был проведен анализ информации на сайте в информационно-телекоммуникационной сети "Интернет" по адресу www.arsenalins.ru с целью проверки соблюдения законодательства Российской Федерации в области персональных данных.

По итогам проведенных Управлением мероприятий Обществу надлежит провести проверку правомерности обработки персональных данных по указанным в Запросе-требовании N 1 фактам и представить в Управление следующую информацию:

- сведения о правовых основаниях распространения (опубликования) персональных данных субъектов, информация о которых размещена на сайте Общества после 01.03.2021;

- сведения о дате начала сбора персональных данных, посредством формы, размещенной на сайте общества, и правовых основаниях обработки таких персональных данных;

- о принятых мерах по прекращению неправомерной обработки персональных данных пользователей сайта www.arsenalins.ru;

- иные пояснения по существу изложенного.

О принятых мерах необходимо информировать Управление письменно не позднее тридцати дней со дня получения настоящего Запроса, что предусмотрено частью 4 статьи 20 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных". Информацию направить посредством электронной почты: rsockanc77@rkn.gov.ru и письмом по адресу: 117997, ГСП-7, Москва, ш. Старокаширское, д. 2, к. 10.

20.05.2022 Обществом направлен ответ на Запрос-требование N 1 (исх. N 1327 от 20.05.2022), с обоснованием правомерности обработки персональных данных с использованием официального сайта Общества.

24.05.2022 Управлением в адрес Общества направлен запрос-требование, исх. N 54352-09/77 от 24.05.2022 (далее - Запрос-требование N 2), аналогичного содержания, согласно которому доводы Общества о правомерности обработки персональных данных были отклонены (проигнорированы), в связи с чем Обществу надлежит прекратить неправомерную обработку персональных данных и представить в Управление следующую информацию:

- сведения о правовых основаниях распространения (опубликования) персональных данных субъектов, информация о которых размещена на сайте Общества после 01.03.2021;

- сведения о дате начала сбора персональных данных, посредством формы, размещенной на сайте общество, и правовых основаниях обработки таких персональных данных;

- о принятых мерах по прекращению неправомерной обработки персональных данных пользователей сайта www.arsenalins.ru; - иные пояснения по существу изложенного.

Не согласившись с действиями Управления по признанию неправомерной обработки персональных данных в рассматриваемых эпизодах и понуждению Общества к прекращению обработки персональных данных, ООО "СК "Арсеналъ" обратилось в арбитражный суд с соответствующим заявлением.

Суд первой инстанции, удовлетворяя заявленные требования, руководствуясь статьями 65, 71, 198, 200, 201 Арбитражного процессуального кодекса Российской Федерации, Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных", исходил из того, что оспариваемые действия Управления не соответствуют требованиям действующего законодательства и нарушают права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности в силу нижеследующего.

В силу п. 3 ст. 3 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о ПД), обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно п. 5 ст. 3 Закона о ПД - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

В соответствии с п.п. 1, 2, 11 ч. 1 ст. 6 Закона о ПД, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом, и допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Таким образом, Федеральный закон от 27.07.2006 г. N 152-ФЗ "О персональных данных" предусматривает различные основания для обработки персональных данных: "с согласия субъекта персональных данных", "во исполнение возложенных на оператора законодательством РФ обязанностей", "во исполнение требований федерального законодательства по раскрытию информации".

Согласно п. 3 ст. 3 Закона о ПД, понятие "обработка персональных данных" подразумевает, в том числе, обработку способом "распространение", а ст. 6 данного закона, устанавливает условия (основания) для "обработки персональных данных", которые согласно п.п. 2 и 11 ч. 1 указанной статьи могут обрабатываться "во исполнение возложенных на оператора законодательством РФ обязанностей" и/или "во исполнение требований федерального законодательства по раскрытию персональных данных".

Судом установлено, что ООО "СК "Арсеналъ" является страховщиком (страховой организацией) по смыслу п. 1 ст. 6 Закона N 4015-1, что подтверждается сведениями, содержащимися в ЕГРЮЛ в отношении Общества (юрисдикция РФ, основной вид деятельности - страхование, наличие лицензий Банка России на осуществление страховой деятельности).

Следовательно, исполнение требований Закона Российской Федерации от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации" (далее - Закон N 4015-1) и нормативно-правовых актов Банка России является обязательным для Общества в силу п.п. 2, 3 ст. 1 Закона N 4015-1.

В соответствии с п. 6 ст. 6 Закона N 4015-1 в целях доведения до страхователей, застрахованных лиц, выгодоприобретателей, лиц, имеющих намерение заключить договор страхования, информации о своей деятельности страховщик должен иметь собственный сайт в информационно-телекоммуникационной сети "Интернет" (далее - официальный сайт страховщика), на котором должна размещаться информация на русском языке, в том числе, сведения о руководителях, об акционерах (участниках, членах) страховщика (пп. 2 п. 6 ст. 6 Закона N 4015-1).

Руководящие должности страховщика и предъявляемые к ним требования определены в ст. 32.1 Закона N 4015-1, изданных Банком России в развитие указанной статьи Указании Банка России от 25.12.2017 г. N 4662-У, Положении Банка России от 27.12.2017 г. N 625-П, в том числе, такие должности, как: - Единоличный исполнительный орган (Генеральный директор); - Член совета директоров (наблюдательного совета); - Главный бухгалтер; - Руководитель службы внутреннего аудита; - Ревизор.

Порядок и форма раскрытия информации об акционерах (участниках) страховщика определены Положением Банка России от 26.12.2017 г. N 622-П.

Банком России уделяется особое внимание соблюдению страховщиками требований по раскрытию информации, как с точки зрения своевременности и полноты, так и в аспекте технического оформления документов, в том числе, таких как Список акционеров (участников) страховой организации и лиц, под контролем либо значительным влиянием которых находится страховая организация и Схема взаимосвязей акционеров (участников) страховой организации и лиц, под контролем либо значительным влиянием которых находится страховая организация, явившихся предметом претензий Управления, предъявленных Обществу. Так форма и содержание документов, размещенных в подразделе "Информация о структуре и составе участников страховой организации", полностью соответствуют рекомендованным образцам и требованиям, предусмотренным Положением Банка России от 26.12.2017 г. N 622-П.

Таким образом, обработка Обществом персональных данных руководителей Общества и участников Общества способом "распространение", путем их размещения в разделе "Руководство и участники" не требует получения согласия субъекта персональных данных, поскольку осуществляется Обществом на основании п.п. 2 и 11 ч. 1 ст. 6 Закона о ПД во исполнение законной обязанности Общества по раскрытию персональных данных, предусмотренной пп. 2 п. 6 ст. 6 Закона N 4015-1, в целях доведения информации до сведения страхователей, застрахованных лиц, выгодоприобретателей, лиц, имеющих намерение заключить договор страхования.

Довод Управления о наличии у Общества обязанности по получению у руководителей Общества и участников Общества отдельного согласия на обработку персональных данных способом "распространение" для правомерного раскрытия указанных персональных данных на официальном сайте страховщика правомерно был отклонен судом, поскольку ст. 10.1. Закона о ПД устанавливает порядок обработки персональных данных, разрешенных субъектом персональных данных к распространению, что является частным случаем обработки персональных данных "с согласия субъекта персональных данных".

Данный вывод следует как из самого названия статьи 10.1. "Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения", так и из содержания указанной статьи, которой фактически устанавливаются требования к форме и порядку получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Ни статья 10.1. Закона о ПД, ни иные положения данного закона не предусматривают для оператора обязанности на получение у субъекта персональных согласия на обработку персональных данных "во исполнение возложенных на оператора законодательством РФ обязанностей" и/или "во исполнение требований федерального законодательства по раскрытию персональных данных".

В данном контексте суд принял во внимание, что раскрытие персональных данных руководителей и участников страховой организации в соответствии с Законом N 4015-1 осуществляется не в рекламных целях, а с целью соблюдения публичных интересов, направленных на информирование неопределенного круга лиц (страхователей, застрахованных лиц, выгодоприобретателей, лиц, имеющих намерение заключить договор страхования), соблюдение которых было бы невозможно достичь в случае отказа субъекта персональных данных от предоставления согласия на обработку персональных данных.

Относительно формы "Заявка на оформление полиса", суд правомерно указал, что данная форма не подразумевает сбора персональных данных в контексте определения "персональные данные", содержащегося в п. 1 ст. 3 Закона о ПД, поскольку, как следует из материалов дела, не используется Обществом для идентификации потребителя финансовых услуг с целью заключения договора страхования, а является формой обратной связи для последующего контакта сотрудника продающего подразделения Общества с потенциальным клиентом, которым кроме физического лица, также может выступать индивидуальный предприниматель или юридическое лицо.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Так, форма "Заявка на оформление полиса" не содержит полей, предусматривающих указание данных, позволяющих определить (идентифицировать) конкретное физическое лицо, поскольку запрашивает только "Форму обращения", "Email", "Телефон".

Совокупность данных, получаемых Обществом посредством формы "Заявка на оформление полиса" не обеспечивает возможности доподлинно определить конкретное физическое лицо, которому принадлежит номер телефона и/или адрес электронной почты, поскольку форма не подразумевает предоставления полных "Фамилии Имени Отчества" и/или иных идентификаторов, таких как "Номер документа удостоверяющего личность", "ИНН", "СНИЛС", "Дата и место рождения", в особенности принимая во внимание тот факт, что в форме могут быть указаны номер телефона и адрес электронной почты, принадлежащие юридическому лицу или иному физическому лицу, не являющемуся заполнителем формы.

Утверждение Управления о том, что адрес электронной почты является персональными данными лица его зарегистрировавшего, так как обладает "двумя важными свойствами: неизменностью при присвоении и уникальностью", также является безосновательным, поскольку по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит.

Более того, адрес электронной почты фактически не обладает свойством "абсолютной неизменности", потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.

Судом отмечено, что форма "Обратная связь", размещенная на сайте Общества и используемая для направления персонифицированных обращений потребителями финансовых услуг, в свою очередь, содержит интерфейс на предоставление субъектом персональных данных согласия на обработку персональных данных в соответствии с Политикой Общества в отношении обработки и защиты персональных данных субъектов, поскольку данная форма уже предусматривает указание имени потребителя финансовых услуг.

Относительно подраздела "Реестр агентов и брокеров", судом отмечено, что размещенная в нем форма по своему функционалу не подразумевает сбор персональных данных, а осуществляет доступ потребителей финансовых услуг к реестру контрагентов страховщика (страховых агентов и страховых брокеров) через официальный сайт Общества для проверки у последних наличия полномочий представлять интересы Общества по вопросу заключения договоров страхования с целью предотвращения возможных мошеннических действий.

Обеспечение доступа к реестру контрагентов является законной обязанностью Общества и установлена п. 11 ст. 8 Закона N 4015-1, согласно которому, страховщики ведут реестры страховых агентов и страховых брокеров, с которыми у них заключены договоры об оказании услуг, связанных со страхованием.

Сведения из реестра страховых агентов и страховых брокеров, позволяющие идентифицировать страхового агента или страхового брокера в качестве лица, с которым у страховщика заключен договор об оказании услуг, связанных со страхованием (фамилия, имя, отчество (при наличии) или наименование страхового агента, страхового брокера, номер удостоверения или договора), сведения о видах страхования, по которым страховой агент, страховой брокер уполномочены страховщиком оказывать услуги, связанные со страхованием, в том числе в электронной форме, перечень оказываемых услуг, а также доменное имя и (или) сетевой адрес официальных сайтов страхового агента (при наличии), страхового брокера в информационно-телекоммуникационной сети "Интернет" размещаются страховщиками на своих официальных сайтах.

Полномочия по ведению реестра страховых агентов и страховых брокеров и размещению сведений из него в информационно-телекоммуникационной сети "Интернет" могут быть переданы страховщиком объединению страховщиков, о чем страховщик должен сообщить на своем официальном сайте с указанием информации о таком объединении страховщиков.

Таким образом, суд обоснованно пришел к выводу о том, что Общество осуществляет обработку персональных данных, содержащихся в Реестре агентов и брокеров, способом "распространение" на основании п.п. 2 и 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных" и во исполнение законной обязанности Общества, предусмотренной п. 11 ст. 8 Закона N 4015-1.

Относительно обработки персональных данных осуществляемой Обществом при создании и ведении Реестра агентов и брокеров, такими способами как, сбор, хранение, запись, систематизация и т.д., суд отметил, что такая обработка осуществляется на основании п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных", согласно которому обработка персональных данных может осуществляться оператором для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (в данном случае агентского договора и/или договора на оказание услуг страхового брокера, заключенного между субъектом персональных данных и Обществом).

Общество не осуществляет сбор персональных данных граждан с использованием информационно-телекоммуникационной сети "Интернет" посредством формы, размещенной в подразделе "Реестр агентов и брокеров", как на то указывает Управление в Запросах-требованиях, поскольку данная форма сама по себе имеет иное функциональное назначение, а персональные данные, содержащиеся в Реестре агентов и брокеров, обрабатываются Обществом правомерно в соответствии с требованиями действующего законодательства РФ в сфере персональных данных.

На основании вышеизложенного, суд правомерно приходит к выводу о том, что действия Управления Роскомнадзора по ЦФО по признанию неправомерной обработки персональных данных, осуществляемой ООО "СК "Арсеналъ" с использованием официального сайта страховщика www.arsenalins.ru, и понуждению к прекращению такой обработки персональных данных, несоответствующими п. 1 ст. 3, ст. 6, ст. 10.1. Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных", п.6 ст. 6, п. 11 ст. 8 Закона РФ от 27.11.1992 г. N 4015-1 "Об организации страхового дела в Российской Федерации" являются незаконным и нарушают права заявителя.

Следовательно, в данном случае имеются основания, предусмотренные ст. 13 ГК РФ и ч. 1 ст. 198 АПК РФ, которые одновременно необходимы для признания ненормативного акта органа, осуществляющего публичные полномочия, недействительным, а решения или действия незаконными.

Кроме того, суд первой инстанции в соответствии с п. 3 ч. 4 ст. 201 АПК РФ правомерно обязал Управление Роскомнадзора по ЦФО устранить допущенные нарушения прав и законных интересов заявителя.

Приведенные в апелляционной жалобе доводы повторяют позицию Управления по существу спора. Между тем эти доводы являлись предметом подробного исследования судом первой инстанции.

Нарушений норм процессуального права, предусмотренных ч. 4 ст. 270 АПК РФ и влекущих безусловную отмену судебного акта, коллегией не установлено.

Руководствуясь ст. ст. 266, 268, 269, 271 Арбитражного процессуального кодекса Российской Федерации, Девятый арбитражный апелляционный суд

ПОСТАНОВИЛ:

решение Арбитражного суда города Москвы от 20.10.2022 по делу N А40-139096/2022 оставить без изменения, апелляционную жалобу - без удовлетворения.

Постановление вступает в законную силу со дня его принятия и может быть обжаловано в течение двух месяцев со дня изготовления постановления в полном объеме в Арбитражный суд Московского округа.

Председательствующий судья

С.М. Мухин

Судьи

Г.М. Никифорова В.И. Попов