Постановление Четвертого арбитражного апелляционного суда от 16.01.2011 по делу n А19-25289/2009. Постановление суда апелляционной инстанции: Оставить решение суда без изменения, жалобу без удовлетворения

Положения).

В соответствии с пунктом 1 части 1 статьи 17 Закона № 294-ФЗ в случае выявления при проведении проверки нарушений юридическим лицом, индивидуальным предпринимателем обязательных требований или требований, установленных муниципальными правовыми актами, должностные лица органа государственного контроля (надзора), органа муниципального контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны выдать предписание юридическому лицу, индивидуальному предпринимателю об устранении выявленных нарушений с указанием сроков их устранения.

Таким образом, предписание от 30.09.2009 г. № 38-10/056 об устранении обществом нарушения части 7 статьи 22 Закона о персональных данных вынесено Управлением Роскомнадзора по Иркутской области в пределах, предоставленных ему полномочий.

Проверка в отношении АКБ «Радиан» (ОАО) была проведена в соответствии с Приказом Управления Роскомнадзора от 09.09.2009 №70-п в порядке, определенном Федеральным законом от 26.12.2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Закон № 294-ФЗ).

Согласно части 1 статьи 16 Закона № 294-ФЗ по результатам проверки должностными лицами органа государственного контроля (надзора), органа муниципального контроля, проводящими проверку, составляется акт по установленной форме в двух экземплярах. Типовая форма акта проверки устанавливается уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

В соответствии с пунктом 7 части 4 Закона № 294-ФЗ в акте проверки указываются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований и требований, установленных муниципальными правовыми актами, об их характере и о лицах, допустивших указанные нарушения.

Акт проверки оформляется непосредственно после ее завершения в двух экземплярах, один из которых с копиями приложений вручается руководителю, иному должностному лицу или уполномоченному представителю юридического лица, индивидуальному предпринимателю, его уполномоченному представителю под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки (часть 4 Закона № 294-ФЗ).

Акт проверки от 30.09.2009 г. № 38-0266, составленный в соответствии с требованиями Закона № 294-ФЗ, является документом, в котором отражены результаты проверки, включающий в себя информацию, полученную в ходе ее проведения. В соответствии с пунктом 9 акта проверки от 30.09.2009 №38-0266 к нему приложены документы по перечню из 17 пунктов.

Рассматривая требования заявителя о признании недействительным акта проверки, суд первой инстанции обоснованно, учитывая правовую позицию, изложенную в Определении Конституционного Суда РФ от 27.05.2010г. № 766-О-О, в Определениях ВАС РФ от 18.02.2009 г. № 16371/08, от 16.04.2009 г. № ВАС-3886/09, от 26.10.2009 г. № ВАС-13213/09, в Постановлении Президиума ВАС РФ от 17.02.2009г. № 14338/08, прекратил производство по делу в указанной части.

Так, требование о признании недействительным акта проверки заявлено в порядке статьи 198 Арбитражного процессуального кодекса РФ. Согласно части 1 статьи 198 Арбитражного процессуального кодекса РФ граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.

Для обладания признаками ненормативного правового акта, решения государственного органа, оспариваемый акт должен носить властный или публичный характер и быть направленным на установление, изменение или прекращение прав и обязанностей каких-либо лиц. Оспариваемый заявителем акт проверки не обладает указанными признаками ненормативного правового акта, поскольку не содержит властно-распорядительных предписаний для лица, в отношении которого он вынесен, не порождает изменений в его правах и обязанностях. Данный документ является носителем информации в отношении результатов проверки.

Суд первой инстанции правильно пришел к выводу, что оспариваемый акт проверки не может быть признан решением уполномоченного органа по защите прав субъектов персональных данных, которое может быть обжаловано в судебном порядке в соответствии с ч.6 ст.23 Закона о персональных данных.

Доводы о том, что суд фактически лишил заявителя права на защиту своих прав, что в силу пункта 1 статьи 46 Конституции Российской Федерации не допускается, не могут быть приняты во внимание. Заявитель фактически реализовал свое конституционное право на защиту нарушенного права, обжалуя в судебном порядке предписание уполномоченного органа, основанное на указанном акте проверки. В ходе судебной проверки названного предписания на соответствие закону суд фактически проверил доводы заявителя, приводившиеся при обжаловании акта проверки.

Рассматривая по существу заявленные требования в остальной части, суд первой инстанции правомерно пришел к выводу об их необоснованности в виду следующего.

В силу пункта 2 статьи 3 Закона о персональных данных АКБ «Радиан» (ОАО) является оператором, т.е. юридическим лицом, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

Персональными данным в силу пункта 1 названной статьи является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с частью 1 статьи 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 данной статьи.

Согласно пункту 3 статьи 22 Закона о персональных данных уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1)  наименование (фамилия, имя, отчество), адрес оператора;

2)  цель обработки персональных данных;

3)  категории персональных данных;

4)  категории субъектов, персональные данные которых обрабатываются;

5)  правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7)  описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8)  дата начала обработки персональных данных;

9)  срок или условие прекращения обработки персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными (пункт 4 статьи 22 названного закона).

Приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 №08 «Об утверждении образца формы уведомления об обработке персональных данных» рекомендованы к использованию утвержденные настоящим приказом форма уведомления и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

В соответствии с пунктом 7 статьи 22 Закона о персональных данных в случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Таким образом, в случае изменении сведений о перечне действий с персональными данными, общем описании используемых оператором способов обработки персональных данных, оператор обязан уведомить об этих изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Заявитель в обоснование заявленного требования указал, что при ведении кадрового учета, при начислении заработной платы и совершения банковских операций с физическими лицами (открытие вклада, перевод денежных средств) обработка персональных данных осуществляется без использования средств автоматизации, в связи с чем установление Управлением Роскомнадзора по Иркутской области по результатам проверки факта осуществления обработки персональных данных клиентов и работников АКБ «Радиан» (ОАО) путем смешанной обработки является неправомерным и незаконно возлагает на заявителя дополнительные обязанности по обеспечению безопасности персональных данных, содержащихся  в информационной системе.

Данные доводы обоснованно были отклонены судом первой инстанции.

Пунктом 1 статьи 1 Закона о персональных данных предусмотрено, что настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Указанный федеральный закон не раскрывает понятие обработки персональных данных с использованием средств автоматизации (автоматизированная).

Основные принципы защиты данных личного характера получили закрепление в Конвенции Совета Европы N 108 "О защите частных лиц в отношении автоматизированной обработки данных личного характера". (Страсбург, 28 января 1981г.). Эти принципы отражают требования, предъявляемые:

к качеству данных (получены и обработаны законным путем, зарегистрированы с определенной и законной целью и не используются вразрез с этой целью и др.);

особым категориям данных (данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни, подлежат автоматизированной обработке только в том случае, если законодательство предоставляет надлежащие гарантии; аналогичное правило применяется относительно данных личного характера, связанных с уголовным осуждением);

безопасности данных (приняты надлежащие меры безопасности для защиты данных личного характера, зарегистрированных в автоматизированных картотеках, от случайного или неразрешенного разрушения или от случайной утери, а также от неразрешенных доступа к ним, изменения или распространения);

дополнительным гарантиям для лица (любое лицо должно иметь возможность: узнать о существовании автоматизированной картотеки данных личного характера, ее цели; получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме; требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений законодательства, и т.д.).

Россия ратифицировала Конвенцию (Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" ) со следующими заявлениями:

1) Российская Федерация заявляет, что не будет применять Конвенцию к персональным данным: а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне;

2) Российская Федерация заявляет, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

3) Российская Федерация заявляет, что оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

В соответствии с пунктом «с» статьи 2 Конвенции о защите личности в связи с автоматизированной обработкой персональных данных «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

В соответствии с частью 4 статьи 15 Конституции Российской Федерации общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.

В силу пункта 1 статьи 4 Закона о персональных данных законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

Согласно пункту 3 статьи 3 Закона о персональных данных под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование,

Постановление Четвертого арбитражного апелляционного суда от 16.01.2011 по делу n А19-17938/2010. Постановление суда апелляционной инстанции: Отменить определение, направить дело на рассмотрение суда 1-й инстанции  »
Читайте также