Судебная практика

АРБИТРАЖНЫЙ СУД ГОРОДА МОСКВЫ

Именем Российской Федерации
Р Е Ш Е Н И Е


г. Москва

26 апреля 2016г.                      Дело № А40-32030/2016-145-275



Резолютивная часть решения объявлена 20 апреля 2016г.

Решение в полном объеме изготовлено 26 апреля 2016г.


Арбитражный суд г. Москвы в составе:
Председательствующего судьи     Вигдорчика Д.Г.
при ведении протокола судебного заседания секретарем с/з Широбоковой О.В.
рассмотрев дело по заявлению ˂Наименование организации˃ (ОГРН ˂Номер˃, ИНН ˂Номер˃, ˂Адрес˃)
к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (ОГРН ˂Номер˃, ˂Адрес˃)
о признании недействительным и отмене предписания ˂Номер˃ от 24.11.2015.
при участии: от заявителя – ˂ФИО˃, доверенность 17/670/15 от 21.12.2015, паспорт.; от ответчика – ˂ФИО˃, доверенность 55-Д от 30.12.2015, паспорт, ˂ФИО˃, доверенность 2-Д от 20.01.2016, паспорт, ˂ФИО˃, доверенность 54-д от 30.12.2015, паспорт.
 

УСТАНОВИЛ:


  ˂Наименование организации˃ обратилось в Арбитражный суд города Москвы с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу о признании недействительным и отмене предписания № П-77/07/1148-нд от 24.11.2015.
  Заявитель в судебное заседание явился, поддержал заявленные требования по основаниям, изложенным в заявлении, просил суд удовлетворить заявленные требования.
Ответчик в судебное заседание явился, возражал против удовлетворения требований заявителя по основаниям, указанным в письменном.
  Рассмотрев материалы дела, исследовав доказательства, выслушав доводы представителей явившихся в судебное заседание сторон, арбитражный суд установил, что заявленные требования подлежат удовлетворению по следующим основаниям.
  Из материалов дела следует, что в период с 02.10.2015г. по 24.11.2015г. на сотрудниками Роскомнадзора на основании Приказа ˂Номер˃ от 09.09.2015г. проведена плановая выездная проверка ˂Наименование организации˃.
  В ходе проведения проверки Управлением установлено, что между ˂Наименование организации˃ и ˂Наименование организации˃ заключен договор № 11-1005 от 01.07.2011, предметом которого является оказание услуг по хранению документов, а также услуги по архивированию и уничтожению документов.
 В рамках исполнения данного договора сети электросвязи не используются.
  В соответствии с п. 1 Приложения № 1 к договору ˂Наименование организации˃ будет предоставлять клиенту услуги по хранению документов в Архивных коробах и носителей, а также прочие услуги, указанные в Прайс-листе. В Прайс-листе, в частности, указаны следующие услуги: хранение документов; расформирование папок-регистраторов, упаковка документов в архивную папку, составление описи документов; поиск Архивного короба, поиск дела, поиск на уровне документа, стандартная доставка, электронная доставка (факс, e-mail), - копирование хранимых документов из дел с брошюровкой копий; распечатка документов с электронного архива и брошюровка; сертифицированное уничтожение; опечатывание архивного короба; уничтожение ненужных данных; сканирование (с целью последующего размещения в архиве электронных копий документов); хранение в архиве электронных копий документов и иных файлов заказчика; предоставление доступа к архиву электронных копий документов; хранение медиа-носителей (поиск в хранилище, возврат в хранилище); архивная обработка документов (комплексное обследование состояния и наличия документов форда организации, экспертиза научной и практической ценности с полистным просмотром и отбором документов из дел, формирование дел, оформление дел и прочее); переплет, сшив документов, систематизация документов, упаковка в архивные короба, предоставление документов и материалов, находящихся в производстве, курьеру заказчика.
  Таким образом, во время оказания услуг по договору ˂Наименование организации˃ может получить доступ к персональным данным абонентов ˂Наименование организации˃.
  По окончанию проверки административным органом составлен Акт проверки от 24.11.2015г. ˂Номер˃ и вынесено Предписание от 24.11.2015г. ˂Номер˃ об устранении выявленного нарушения.
  В соответствии с предписанием на обществу предписано устранить следующие нарушения:
 1) ˂Наименование организации˃ посредством формы Анкеты кандидата для вакансии Специалиста по продажам и обслуживанию, размещенной и доступной по адресу http:˂Ссылка на страницу сайта˃ в сети «Интернет» осуществляет сбор ПДн без согласия, что нарушает требования ч. 1 ст.6 Федеральною закона от 27.07.2006 № 152-ФЗ «О персональных данных».

 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо прекратить осуществление обработки персональных данных без согласия на сайге и реализовать функции получения предварительного согласия кандидата, получаемого путем проставления соответствующей отметки в поле согласия до момента отправки анкеты ˂Наименование организации˃.
  2) ˂Наименование организации˃ не обеспечило уничтожение персональных данных кандидатов на замещение вакантных должностей, содержащихся в резюме на электронной почте сотрудников ˂Наименование организации˃, и срок, не превышающий тридцати дней с момента принятия решения о приеме либо отказе в приеме па работу, что нарушает требования ч.4 ст.21 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо обеспечить уничтожение персональных данных кандидатов на замещение вакантных должностей, содержащихся в резюме на электронной почте сотрудников ˂Наименование организации˃, в срок, не превышающий тридцати дней с момента принятия решения о приеме либо отказе в приеме на работу.
 3) ˂Наименование организации˃ получает резюме кандидатов па электронную почте своих сотрудников и раскрывает содержащиеся в них персональные данные третьим лицам без согласия кандидатов, что нарушает требования сл.7 Федерального закона от 21.07.2006 № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо прекратить раскрытие персональных данных кандидатов третьим лицам без согласия кандидатов.
 4) ˂Наименование организации˃ , осуществляя передачу персональных данных работников третьим лицам, использует типовую письменную форму согласия на обработку персональных данных работника, предусматривающую наличие нескольких целей обработки персональных данных, что нарушает требования п.4 ч.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо разработать и использовать типовую письменную форму согласия на обработку персональных данных работника, предусматривающую наличие одной цели обработки в случае передачи персональных данных работников третьим липам.
 5) ˂Наименование организации˃, осуществляя передачу персональных данных работников третьим липам, использует типовую письменную форму согласия на обработку персональных данных работника, не предусматривающую указание наименования лица, осуществляющего обработку персональных данных по поручению ˂Наименование организации˃ в части обработки персональных данных работников в рамках кадрового и бухгалтерского учета, что нарушает требования п.6 ч.4 ст.9 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».

 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо разработать и использовать типовую письменную форму согласия на обработку персональных данных работника, предусматривающую указание наименования лица, осуществляющего обработку персональных данных по поручению ˂Наименование организации˃.
 6) ˂Наименование организации˃ осуществляет включение в общедоступный источник Yammer персональных данных работников в отсутствие письменного согласия работников, что нарушает требования ч.1 ст.8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо разработать и использовать типовую форму письменного согласия субъекта персональных данных на включение его персональных данных в Yammer.
 7) Оператор осуществляет трансграничную передачу персональных данных работников на территорию США в отсутствие согласия в письменной форме работников на трансграничную передачу их персональных данных, что нарушает положения п. 1 ч. 4 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо разработать и использовать типовую форму письменного согласия субъекта ПДн на осуществление трансграничной передачи персональных данных па территорию США.
 8) ˂Наименование организации˃ поручает ˂Наименование организации˃ хранение персональных данных абонентов без их согласия, что нарушает требования ч. 3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо обеспечить получение согласий абонентов на поручение храпения их персональных данных в ˂Наименование организации˃.
 9) ˂Наименование организации˃ осуществляет раскрытие персональных данных клиентов, содержащихся в Заявлениях о переносе абонентского номера ˂Наименование организации˃ без их согласия, чем нарушает требования ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
 Для устранения выявленного нарушения ˂Наименование организации˃ необходимо прекратить раскрытие персональных данных клиентов, содержащихся в Заявлениях о переносе абонентского номера третьим лицам, без их согласия в ˂Наименование организации˃.
 Не согласившись с указанным предписанием, заявитель обратился в арбитражный суд с настоящим заявлением. 
 Суд установил, что срок на обжалование ненормативных актов, установленный п. 4 ст. 198 АПК РФ заявителем не пропущен.
 Согласно ст.198 АПК РФ граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.

 Таким образом, процессуальный закон устанавливает наличие одновременно двух обстоятельств, а именно, не соответствие оспариваемого акта закону или иному нормативному правовому акту и нарушение оспариваемым актом прав и законных интересов организаций в сфере предпринимательской и иной экономической деятельности, для признания недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц.
 Согласно ст.13 ГК РФ ненормативный акт, не соответствующий закону или иным правовым актам и нарушающий гражданские права и охраняемые законом интересы гражданина, может быть признан судом недействительным. 
 Согласно п.1 Постановления Пленума ВС РФ от 01.07.1996 г. № 6 и Пленума ВАС РФ № 8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» если суд установит, что оспариваемый акт не соответствует закону или иным правовым актам и ограничивает гражданские права и охраняемые законом интересы гражданина или юридического лица, то в соответствии со статьей 13 ГК он может признать такой акт недействительным.
 Таким образом, из существа приведенных норм следует, что для признания недействительными обжалуемых заявителем предписания Роскомнадзора необходимо наличие двух обязательных условий, а именно, несоответствие их закону и наличие нарушения ими прав и охраняемых законом интересов юридического лица.
 В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16 марта 2009 г. № 228, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.
 В соответствии с п. 6.1 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных утв. Приказом Минкомсвязи России от 14.11.2011г. № 312 должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.
 Таким образом, суд приходит к выводу, что административный орган имел право на выдачу обжалуемого предписания.
 Суд принимает во внимание, что выявленные в ходе проверки нарушения регулируются Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных». Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
 Суд отклоняет доводы общества о не обоснованности вынесенного предписания, как не состоятельные.
 Суд отмечает, что в силу ст. 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
 В силу ст. 7 Закона № 152-ФЗ Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
 В соответствии с положениями ст. 9 Закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. 
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности цель обработки персональных данных; (п. 4 ч. 4 ст. 9 Закона).
 В силу п. 1 ч. 4 ст. 12 Закона № 152-ФЗ трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
 В силу ч. 4 ст. 21 Закона № 152-ФЗ в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
 Суд учитывает, что ˂Наименование организации˃, рассмотрев акт проверки от 24.11.2015г. № А-77/11/1148-нд и предписание об устранении выявленного нарушения от 24.11.2015 № П-77/07/1148-нд, направило в адрес Управления письмо от 09.12.2015г. № 09122015/1 за вх. от 17.12.2015 № 35554/77, в соответствии с которым сообщило, что ряд нарушений, указанных в обжалуемом предписании (под номерами 1-3, 7), Обществом признаются и будут устранены в срок не позднее 24.05.2016г.
 Так, из указанного письма следует, что:
- с даты выявления нарушения (24.11.2015г.) до реализации изменений, предусмотренных п. 3, приостанавливается сбор персональных данных кандидатов на замещение вакантной должности Специалиста по продажам и обслуживанию посредством формы Анкета кандидата, размещенной и доступной по указанному адресу в сети Интернет;
- осуществляется уничтожение персональных данных кандидатов на замещение вакантной должности Специалиста по продажам и обслуживанию, полученных посредством формы посредством формы Анкета кандидата, размещенной и доступной по указанному адресу в сети Интернет, обрабатываемых с нарушением законодательства РФ, с оформлением соответствующего акта уничтожения в срок, не превышающий десяти рабочих дней с даты выявления нарушения, а именно не позднее 08.12.2015;
- не позднее 24.05.2016г. реализуется функция получения предварительного согласия кандидата, получаемого путем проставления соответствующей отметки в поле согласия со следующим текстом «Настоящим выражаю свое согласие на передачу по открытым каналам связи и последующую обработку (сбор, запись, хранение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) Обществом содержащихся в моем резюме персональных данных. Признаю и соглашаюсь с тем, что резюме было предоставлено мной по собственной инициативе в целях рассмотрения и оценки возможности заключения со мной трудового договора по моей инициативе, оценки профессиональных и деловых качеств меня как кандидата на работу» до момента отправки анкеты кандидата в ˂Наименование организации˃.
- обеспечивается уничтожение персональных данных кандидатов на замещение вакантных должностей, содержащихся в резюме в электронной почте сотрудников Общества, с оформлением акта уничтожения, в срок, не превышающий десяти рабочих дней с даты выявления нарушения, а именно не позднее 08.12.2015;
- в процессе обработки персональных данных, согласно локальным актам Общества, в срок, не превышающий тридцати дней с момента принятия решения о приеме либо отказе в приеме на работу, в Обществе будет уничтожаться вся информация, содержащая персональные данные кандидатов на замещение вакантны должностей с момента принятия такого решения, с оформлением соответствующих актов уничтожения.
- для резюме, отправляемых потенциальным кандидатом посредством нажатия соответствующей ссылки mailto, размещенной на сайте yota.ru, не позднее 24.05.2016 реализуется функция получения предварительного согласия кандидата, получаемого путем проставления соответствующей отметки в поле согласия;
- для резюме, полученных HR-специалистами напрямую от кандидатов, перед передачей контрагентам HR-специалист связывается с кандидатом (отправляет ответное письмо) и спрашивает по электронной почте согласие на передачу контрагенту (указывается наименование, юр.адрес и ОГРН) с целью принятия решения о возможности заключения трудового договора;
- измененный порядок обработки резюме фиксируется в Положении об обработке и защите ПДн ˂Наименование организации˃ не позднее 24.05.2016.
 Суд также учитывает, что в заявлении, общество указывает на факт устранения нарушений, предусмотренных пунктами 1-3, 7 обжалуемого Предписания.
 Суд отмечает, что устранение выявленных нарушений после их выявления не может служить основанием для отмены обжалуемого акта.
 Относительно доводов заявителя по п. 4 Предписания, об отсутствии оснований для получения нескольких согласий на обработку персональных данных, суд учитывает следующее.
В соответствии с ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие
субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
 Из материалов дела следует, что Общество в своей деятельности использует согласие в письменной форме работника Общества: «согласие на обработку персональных данных работника».
 В силу положений ст. 88 Трудового Кодекса РФ при передаче персональных данных работника работодатель должен соблюдать в том числе следующие требования:
-не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
 Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника.
 Суд учитывает, что во время оказания услуг по договору № 11-1005 от 01.07.2011г. ˂Наименование организации˃ может получить доступ к персональным данным абонентов ˂Наименование организации˃. Сведения об абоненте, передаваемые в ˂Наименование организации˃ с целью хранения, архивирования, обработки и уничтожения не относятся к предмету исполнения договора об оказании услуг связи.
Информация, получаемая ˂Наименование организации˃ от оператора связи, позволяет прямо (или косвенно) идентифицировать пользователя как определенное физическое лицо (субъект персональных данных).
 Таким образом, при передаче сведений об абонентах в ˂Наименование организации˃ оператору связи ˂Наименование организации˃ необходимо получение согласия от абонентов в письменной форме.
 В ходе проведения внеплановой выездной проверки согласия абонентов на передачу сведений о них и на иную обработку их персональных данных ˂Наименование организации˃ в письменной форме ˂Наименование организации˃ в Управление не представлено.
В связи с изложенным, суд приходит к выводу, что доводы заявителя о не правомерности п. 4 обжалуемого предписания являются не обоснованными.
 Доводы общества о том, что п. 5 Предписания не обоснован, в связи с тем, что Типовая форма, разработанная обществом соответствует требованиям действующего законодательства, также подлежат отклонению.
 Суд учитывает, что передача ПДн работников относится к особому случаю, предусмотренному ст. 88 ТК РФ, при котором обработка персональных данных осуществляется только с согласия в письменной форме субъекта ПДн. В соответствии с п. 6 ч. 4 ст. 9 Закона № 152-ФЗ согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
 Таким образом, доводы ˂Наименование организации˃ о том, что обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям ст. 9 Закона о персональных данных.
 Относительно доводов о не обоснованности п. 6 Предписания, в связи с отсутствием в действиях общества нарушений положений ч.1 ст. 8 Закона № 152-ФЗ, суд отмечает следующее.
 В силу ч.1 ст. 8 Закона № 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
 В ходе проверки ˂Наименование организации˃ представлена информация относительно организации обществом осуществления обработки ПДн работников в целях информационного обеспечения посредством использования общедоступного источника ПДн работников - Yammer.
 В соответствии с пояснениями заявителя, обществом осуществляется трансграничная передача ПДн своих работников на территорию Нидерландов в рамках использования «облачного» сервиса компании Microsoft - Office 365, в том числе корпоративной социальной сети Yammer.
 Таким образом, именно Обществом организовано использование для своих работников корпоративной социальной сети Yammer, тем самым организована обработка ПДн работников в Yammer, что подтверждается получением Обществом письменных согласий от работников.
 Общедоступный источник ПДн - Yammer, создан (развернут облачный сервис) Обществом в целях информационного обеспечения. В связи с чем обществом необходимо получения в силу ч. 1 ст. 8 Закона письменного согласия субъекта персональных данных на включение его ПДн в Yammer.
 При этом, ссылка общества на наличие письменного согласия не правомерна, поскольку согласие не соответствует требованиям ч. 4 ст. 9 Закона о персональных данных, о чем указано выше.

 Касательно возражения и несогласия ˂Наименование организации˃ с содержанием нарушений изложенных в п. 8 Предписания, суд учитывает следующее.
 В частности, заявитель указывает, что персональные данные ˂Наименование организации˃ передавались в ˂Наименование организации˃ в соответствии с Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле Российской Федерации», в связи с чем Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не распространяется на указанные правоотношения.
 Суд отмечает, что в соответствии с ч. 2 ст.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» действие настоящего Федерального закона не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
 Вместе с тем, отношения, которые сложились между ˂Наименование организации˃ и ˂Наименование организации˃ не регулируются законодательством в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов, поскольку на хранение передаются документы (в том числе абонентские договоры), не закрытые делом. 
 ˂Наименование организации˃ оказывает услуги по хранению всех документов, а не только тех, которые исполнены (прекратили свое действие, расторгнуты и т.д.). ˂Наименование организации˃ передает в ˂Наименование организации˃ договоры об оказании услуг связи (и иные документы) не после того, как они прекратили свое действие, а после заключения, в момент их исполнения.
о закрытия исполненного документа и передачи его на архивное хранение на отношения по передаче данного документа распространяется действие законодательства о защите прав субъектов персональных данных, в случае, если в нем содержатся сведения, подлежащие защите в соответствии с требованиями законодательства о персональных данных и законодательства о связи, в части соблюдения тайны связи и порядка предоставления сведений об абонентах третьим лицам.
Таким образом, передача всех документов, в том числе абонентских договоров, до закрытия соответствующего дела (до прекращения действия договора) должна осуществляться, в том числе, в соответствии с требованиями законодательства о персональных данных и законодательства о связи.
Указанные обстоятельства подтверждаются условиями заключенного между ˂Наименование организации˃ и ˂Наименование организации˃ договора № 11-1005 от 01.07.2011, в соответствии с которым предметом Договора является оказание услуг по хранению документов, а также услуги по архивированию и уничтожению документов.
˂Наименование организации˃ в рамках данного договора передает документы, касающиеся деятельности организации, в том числе договоры об оказании услуг связи, заключаемые с абонентами - физическими лицами.
В соответствии с ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
В настоящем случае, указанные отношения регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Касательно доводов заявителя об отсутствии нарушений обществом положений ст. 7 Закона № 152-ФЗ, изложенных в п. 9 Предписания, суд отмечает следующее.
Так, заявитель указывает, что между обществом и ˂Наименование организации˃ также действует соглашение о конфиденциальности, в соответствии с которым последнее обязалось соблюдать конфиденциальность всех полученных от заявителя данных.
Суд отмечает, что указанное соглашение не может служить основанием для освобождения общества от соблюдения норм и правил, установленных Законом № 152-ФЗ.
Так, оператором при заключении Договора (Правила оказания услуг связи Оператора) предусмотрена возможность переноса абонентского номера.
В ходе проверки общества, административным органом получена копия Заявления о переносе абонентского номера от 14.10.2015г., подписанную клиентом. По результатам анализа представленного Заявления о переносе абонентского номера административным органом установлено следующее.
Посредством заявления Оператор осуществляет сбор ПДн в объеме: ФИО, паспортные данные (серия, номер, кем выдан), адрес регистрации, контактный телефон, email.
Подписывая заявление, клиент дает свое согласие на обработку указанных в заявлении его ПДн Оператору, в том числе их передачу третьим лицам и обработку третьим лицам, при переносе абонентского номера.
Подписанное заявление Оператор передает на хранение в ˂Наименование организации˃ на основании договора от 01 июля 2011 года №11-1005. 
Передача ПДн на хранение предусмотрена п. 4.7 Положения об обработке и защите персональных данных (Приложение № 1 Приказу № 17-Sc-П09-02/15 от 02 сентября 2015г), согласно которому хранение ПДн, обрабатываемых без использования средств автоматизации, поручается третьим лицам на основании заключенных договоров и «Блок-схемой сбора и последующей передачи ПДн абонентов Общества», представленной Оператором в ходе проверки.
Персональные данные, которые собираются ˂Наименование организации˃ посредством «Заявления о переносе абонентского номера», относятся в соответствии с ч. 1 ст. 53 «Закона о связи» к сведениям об абоненте, в связи с чем, оператор связи может поручить их обработку без согласия абонента третьему лицу только в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин.
При этом, суд учитывает, что поручение на хранение и архивирование данных не относятся к случаям указанным в ч. 1 ст. 53 «Закона о связи», предусматривающим передачу данных абонентов третьим лицам в целях заключения и (или) исполнения договора об оказании услуг связи.
В связи с чем, оператор связи в силу положений ч.1 ст. 53 «Закона о связи» обязан предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам. 
По результатам анализа пунктов 2 и 2.5. «Заявления о переносе абонентского номера», административном органом установлено следующее.
Так, в из п. 2.2. следует, что настоящим заявлением выражаю свое согласие на обработку моих персональных данных, указанных в настоящем Заявлении, оператором ˂Наименование организации˃, в том числе их передачу третьим лицам и обработку третьими лицами, при переносе абонентского номера.
Таким образом установлено, что у ˂Наименование организации˃ согласие абонента на поручение обработки его персональных данных таким видом обработки, как хранение в ˂Наименование организации˃, отсутствует.
Следовательно, ˂Наименование организации˃ в отсутствие согласия абонента поручило хранение его ПДн другому лицу (˂Наименование организации˃), тем самым раскрыло ПДн своих абонентов при передачи их на хранение, предусматривающее сканирование и создание электронного архива в ˂Наименование организации˃ (договор № 11-1005).
В соответствии с ч. 2 ст. 5 Закона 152-ФЗ обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
Таким образом, суд соглашается с выводами административного органа, о наличии в действиях общества нарушений требования ч. 3 ст.6Закона 152-ФЗ, в части поручения хранения ПДн клиентов другому лицу без его согласия, а также требования ст.7 Закона, в части раскрытия ПДн клиентов третьим лицам без их согласия.
Таким образом, суд приходит к выводу, что обжалуемое предписание вынесено законно и обоснованно.
Относительно доводов общества о допущении административным органом грубых нарушений положений Закона № 294-ФЗ, суд отмечает следующее.
Согласно п. 20 ч. 3.1. ст. 1 Федерального закон от 26.12.2008г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» положения настоящего Федерального закона, устанавливающие порядок организации и проведения проверок, не применяются при осуществлении контроль и надзор за обработкой персональных данных.
Проверка проведена на основании Приказа № 1148-нд от 09.09.2015г. и являлась плановой. В соответствии с Административным регламентом, утвержденным приказом Минисвязи РФ от 14.11.2011 № 312, в план проверок юридических лиц на 2015 год Общество включено, в том числе по вопросам соблюдения законодательства о персональных данных.
  Информация о данном факте является общедоступной и размещена на официальном сайте Управления.
  В связи с чем, доводы общества о нарушении положений закона от 26.12.2008г. № 294-ФЗ являются не обоснованными и подлежат отклонению.
В силу ч. 3 ст. 201 АПК РФ в случае, если арбитражный суд установит, что оспариваемый ненормативный правовой акт, решения и действия (бездействие) органов, осуществляющих публичные полномочия, должностных лиц соответствуют закону или иному нормативному правовому акту и не нарушают права и законные интересы заявителя, суд принимает решение об отказе в удовлетворении заявленного требования.
 В связи с вышеизложенным, суд не находит оснований для удовлетворения требований общества.
 В соответствии со ст. 110 АПК РФ расходы по государственной пошлине относятся заявителя. 
  На основании изложенного, руководствуясь ст. 167-170, 176, 197-201 АПК РФ, суд
 

РЕШИЛ:

 В удовлетворении заявления ˂Наименование организации˃ к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу о признании незаконным предписания №П-77/07/1148-нд от 24.11.2015г. – отказать. 
Проверено на соответствие Федеральному закона от 27.07.2006 № 152-ФЗ «О персональных данных»
 Решение может быть обжаловано в Девятый арбитражный апелляционный суд в месячный срок с момента изготовления решения в полном объеме.


Судья:                                                                  Д.Г. Вигдорчик

Источник: http://kad.arbitr.ru/Card/130b0900-87ca-4371-aee8-f3dcf72d6ddf
 

Информация по делу
Статьи
ч.1 ст. 6, ч. 3 ст. 6, ст. 7, ч.1 ст. 8, ч.4 ст. 9, п.1 ч.4 ст. 12, ч.4 ст. 21 №152-ФЗ
Суд
Арбитражный суд города Москвы
Судья
Вигдорчик Д.Г.
Дата решения
2016-04-26
Категории
Работники
Соискатели
Согласие
Предоставление
Трансграничная передача
Обязанность оператора
Другие дела из подобных
категорий:

Нарушения при обработке персональных данных студентов, выпускников, работников

Признание незаконными действий по обработке персональных данных, удалении данных, запрете использования сведений

Отсутствие необходимых документов, согласий

Согласия не соответствуют закону; работники не ознакомлены с положением

Не разработан и не принят локальный акт, устанавливающий порядок хранения и использования персональных данных работников организации

Обработка персональных данных с нарушением требований законодательства

Множество нарушений федерального закона «О персональных данных»

Нарушения при обработке персональных данных

Не приняты меры по соблюдению законодательства

Несоответствие согласия закону, отсутствие обязательных сведений в поручении;несоответствие локальных актов закону

Обработка персональных данных без согласия законных представителей обучающихся и работников

Оператор поручил обработку персональных данных другому лицу без согласия субъекта

Обработка персональных данных работников, копий документов без согласия

В печатном издании опубликованы персональные данные субъекта являющегося должностным лицом, при исполнении им служебных обязанностей)

Предложение услуг по телефону