ЧЕТВЕРТЫЙ АРБИТРАЖНЫЙ АПЕЛЛЯЦИОННЫЙ СУД
672000, Чита, ул. Ленина 100б
тел. (3022) 35-96-26, тел./факс (3022) 35-70-85
E-mail: info@4aas.arbitr.ru http://4aas.arbitr.ru
П О С Т А Н О В Л Е Н И Е

г. Чита                   

1 октября 2012 года                                         Дело № А19-7241/2012

Резолютивная часть постановления объявлена 13 сентября 2012 года.
Полный текст постановления изготовлен 1 октября 2012 года.

Четвертый арбитражный апелляционный суд в составе
председательствующего судьи Ячменёва Г.Г.,
судей Рылова Д.Н., Желтоухова Е.В.,
при ведении протокола судебного заседания секретарем судебного заседания ФИО, в отсутствие в судебном заседании с использованием систем видеоконференц-связи в Четвертом арбитражном апелляционном суде представителей лиц, участвующих в деле,
при участии в судебном заседании с использованием систем видеоконференц-связи в Федеральном арбитражном суде Восточно-Сибирского округа:
от ОАО «Иркутскэнерго»: ФИО, ведущий юрисконсульт юридического отдела, доверенность от 21 декабря 2012 года;
от Управления Роскомнадзора: ФИО, главный специалист-эксперт отдела организационной, правовой работы и кадров, доверенность от 15 сентября 2011 года № 034; ФИО, начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий, доверенность от 23 апреля 2012 года № 011;
с участием судьи Федерального арбитражного суда Восточно-Сибирского округа, осуществляющего организацию видеоконференц-связи, ФИО, при ведении протокола отдельного процессуального действия помощником судьи ФИО,
рассмотрел в открытом судебном заседании с использованием систем видеоконференцсвязи апелляционную жалобу Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области на не вступившее в законную силу решение Арбитражного суда Иркутской области от 6 июля 2012 года по делу № А19-7241/2012 по заявлению Иркутского открытого акционерного общества энергетики и электрификации (адрес места нахождения: г. Иркутск, ул. СухэБатора, д. 3; ОГРН 1023801003313, ИНН 3800000220) к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (адрес места нахождения: г. Иркутск, ул. Халтурина, 7; ИНН 3808108956, ОГРН 1043801026500) о признании незаконным предписания (суд первой инстанции: Назарьева Л.В.)

                                              и установил:

 Иркутское открытое акционерное общество энергетики и электрификации (далее –ОАО «Иркутскэнерго», Общество) обратилось в Арбитражный суд Иркутской области с заявлением, уточненным в порядке статьи 49 Арбитражного процессуального кодекса Российской Федерации (далее – АПК Российской Федерации), к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (далее - Управление Роскомнадзора) о признании незаконным предписания № П-38-0011 от 29 февраля 2012 года в части пунктов 1, 2, 3 и 4.
   Решением Арбитражного суда Иркутской области от 6 июля 2012 года заявленные ОАО «Иркутскэнерго» требования удовлетворены частично, пункты 1 и 2 оспариваемого предписания признаны недействительными как несоответствующие Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и Федеральному закону от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Закон № 294-ФЗ). В остальной части в удовлетворении заявленных требований отказано. Одновременно суд первой инстанции обязал Управление Роскомнадзора устранить допущенные нарушения прав и законных интересов ОАО «Иркутскэнерго».
  Не согласившись с решением суда первой инстанции в части удовлетворения требований Общества, Управление Роскомнадзора обжаловало его в апелляционном порядке. Заявитель апелляционной жалобы ставит вопрос об отмене решения суда первой инстанции в обжалуемой части, указывая, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, при этом обработка осуществляется, в том числе и в информационных системах персональных данных, то подача уведомления является обязательной. Законом о персональных данных предусматриваются случаи, когда оператор вправе не уведомлять уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. При определении наличия или отсутствия обязанности уведомлять уполномоченный орган оператору необходимо учитывать указанные исключения последовательно к каждому виду категорий (общие, специальные, биометрические, обрабатываемые в рамках трудового законодательства, либо в рамках гражданских правовых отношениях) обрабатываемых персональных данных. На основании части 3 статьи 22 Закона о персональных данных оператор при подаче уведомления указывает: перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; описание мер, предусмотренных статьями 18.1 и 19 Закона о персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств. При этом в случае предоставления неполных или недостоверных сведений уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
  Следовательно, если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан подать в уполномоченный орган соответствующее уведомление.
   Кроме того, заявитель апелляционной жалобы указывает на то, что в соответствии с пунктом 8 статьи 86 Трудового кодекса Российской Федерации работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Иного способа исполнения данной обязанности, кроме как доведения до работников под роспись локальных актов, устанавливающих порядок обработки персональных данных работников, не предусмотрено. При проведении проверки Обществом не было представлено доказательств, что все работники ознакомлены под роспись со Стандартом предприятия по защите персональных данных.
   В возражении от 2 августа 2012 года на апелляционную жалобу ОАО
«Иркутскэнерго» выражает согласие с решением суда первой инстанции, просит оставить его без изменения.
  Апелляционная жалоба рассматривается в порядке, установленном главой 34 АПК Российской Федерации.
  Согласно части 5 статьи 268 АПК Российской Федерации в случае, если в порядке апелляционного производства обжалуется только часть решения, арбитражный суд апелляционной инстанции проверяет законность и обоснованность решения только в обжалуемой части, если при этом лица, участвующие в деле, не заявят возражений.
  В пункте 25 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 28 мая 2009 года № 36 «О применении Арбитражного процессуального кодекса Российской Федерации при рассмотрении дел в арбитражном суде апелляционной инстанции» указано, что при применении части 5 статьи 268 АПК Российской Федерации необходимо иметь в виду следующее: если заявителем подана жалоба на часть судебного акта, суд апелляционной инстанции в судебном заседании выясняет мнение присутствующих в заседании лиц относительно того, имеются ли у них возражения по проверке только части судебного акта, о чем делается отметка в протоколе судебного заседания.
 Отсутствие в данном судебном заседании лиц, извещенных надлежащим образом о его проведении, не препятствует суду апелляционной инстанции в осуществлении проверки судебного акта в обжалуемой части.
 При непредставлении лицами, участвующими в деле, указанных возражений до начала судебного разбирательства суд апелляционной инстанции начинает проверку судебного акта в оспариваемой части и по собственной инициативе не вправе выходить за пределы апелляционной жалобы, за исключением проверки соблюдения судом норм процессуального права, приведенных в части 4 статьи 270 АПК Российской Федерации.
  В соответствии с пунктом 4 части 2 статьи 260 АПК Российской Федерации в апелляционной жалобе должны быть указаны, среди прочего, требования лица, подающего жалобу.
  Из содержания апелляционной жалобы Управления Роскомнадзора усматривается, что решение суда первой инстанции обжалуется им только в части признания недействительными пунктов 1 и 2 предписания от 29 февраля 2012 года № П-38-0011.
  До начала судебного заседания ОАО «Иркутскэнерго» не заявлено возражений относительно проверки законности и обоснованности решения суда первой инстанции только в обжалуемой Управлением Роскомнадзора части.
  Напротив, в своих возражениях на апелляционную жалобу Общество просит оставить решение суда первой инстанции без изменения.
  Учитывая изложенное, решение суда первой инстанции проверяется только в обжалуемой Управлением Роскомнадзора части, относящейся к удовлетворению требований о признании недействительными пунктов 1 и 2 оспариваемого предписания.
 Соответственно, в части отказа в удовлетворении заявленных Обществом требований законность и обоснованность решения суда первой инстанции не проверяется.
 Четвертый арбитражный апелляционный суд, проанализировав доводы апелляционной жалобы и возражений на нее, выслушав представителей Управления Роскомнадзора и ОАО «Иркутскэнерго», изучив материалы дела, проверив правильность применения судом первой инстанции норм процессуального и материального права, пришел к следующим выводам.
 Как установлено судом первой инстанции и следует из материалов дела, ОАО «Иркутскэнерго» зарегистрировано в качестве юридического лица, ему присвоен основной государственный регистрационный номер 1023801003313, что подтверждается свидетельством о внесении записи в Единый государственный реестр юридических лиц о юридическом лице, зарегистрированном до 1 июля 2002 года (т. 1, л.д. 36).
 Общество является работодателем, осуществляет обработку персональных данных работников, в связи с чем признается оператором персональных данных.
 На основании приказа от 3 февраля 2012 года № 062 должностными лицами Управления Роскомнадзора проведена плановая выездная проверка Общества по вопросу соблюдения обязательных требований в области обработки персональных данных, обязательных требований при использовании радиочастотного спектра и обязательных требований при применении франкировальных машин.
  В ходе проверки выявлены нарушения по соблюдению обязательных требований нормативных правовых актов Российской Федерации в области персональных данных, а именно:
- несоблюдение оператором обязательных требований по уведомлению
уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, чем нарушены требования части 2 статьи Закона о персональных данных;
- несоблюдение оператором обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения использования персональных данных, чем нарушен пункт 8 статьи 86 Трудового кодекса Российской Федерации;
- несоблюдение обязательного требования по включению в договор, заключенный между оператором и третьим лицом, существенного условия, безусловно подтверждающего обязанность обеспечения конфиденциальности и безопасности персональных данных при их обработке третьим лицом по поручению оператора, чем нарушены требования части 3 статьи 6 Закона о персональных данных;
- отсутствие у оператора мест хранения персональных данных, перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, чем нарушен пункт 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687.
 Указанные нарушения обязательных требований в области персональных данных зафиксированы в акте проверки от 29 февраля 2012 года № А-38-0066 (т. 1, л.д. 22-32, 136-138).
 По результатам проверки Управлением Роскомнадзора вынесено предписание от 29 февраля 2012 года № П-38-0011 об устранении выявленных нарушений (т. 1, л.д. 33-35).
 Пунктами 1 и 2 данного предписания на Общество возложена обязанность в срок до 29 августа 2012 года устранить допущенные нарушения требований части 1 статьи 22 Закона о персональных данных и пункта 8 статьи 86 Трудового кодекса Российской Федерации (представить в Управление Роскомнадзора уведомление об обработке персональных данных и ознакомить в установленном порядке работников с документами, регламентирующими порядок обработки персональных данных работников).
 Суд апелляционной инстанции считает правильными выводы суда первой инстанции о незаконности пункта 1 оспариваемого предписания ввиду следующего.
 По общему правилу, установленному частью 1 статьи 22 Закона о персональных данных, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
  Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом (часть 3 статьи 22).
  На момент выдачи оспариваемого предписания применялась форма уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденная приказом Роскомнадзора от 19.08.2011 № 706, в настоящее время применяется форма такого уведомления, утвержденная приказом Минкомсвязи России от 21.12.2011 № 346.
  Исключения из названного правила приведены в части 2 статьи 22 Закона о персональных данных.
  В частности, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством.
  Согласно статье 85 Трудового кодекса Российской Федерации под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
 Общество является работодателем и занимается обработкой персональных данных своих работников в рамках трудовых правоотношений.
  Судом первой инстанции установлено, что в целях использования во внутрихозяйственной деятельности ОАО «Иркутскэнерго» по лицензионному договору от 31 марта 2011 года приобретена автоматизированная система управления персоналом «БОСС-Кадровик».
  Функциональным назначением данной системы являются: учет кадров и расчет заработной платы (организационный менеджмент, управление расстановкой и штатным расписанием, управление документооборотом, кадровый учет, планирование и управление рабочим временем, расчет заработной платы, формирование регламентированной отчетности для контрольных органов, формирование внутрифирменной отчетности); управление кадровыми процессами (управление рекрутингом, управление мотивацией, управление аттестацией и оценкой, управление карьерой, планирование и прогнозирование фондов оплаты труда, управление обучением и развитием, расчет затрат на мероприятия); расчет ключевых показателей и система поддержки принятия решений (анализ эффективности работы персонала).
  Довод заявителя апелляционной жалобы о том, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан представить в уполномоченный орган уведомление, не основан на нормах права. Ни статьи 18.1 и 19 Закона о персональных данных, ни Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17.11.2007 № 781, на которые в обоснование своей позиции ссылается Управление Роскомнадзора, не позволяют сделать такого вывода.
 Напротив, в части 2 статьи 22 Закона о персональных данных прямо предусмотрен перечень из 9 случаев, когда оператор освобождается от обязанности представлять в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством.
  Таким образом, для обработки персональных данных, обрабатываемых в соответствии с трудовым законодательством, вне зависимости от того, каким способом она осуществляется – без использования средств автоматизации или с использованием информационных систем – в силу пункта 1 части 2 статьи 22 Закона о персональных данных не требуется уведомления уполномоченного органа (Роскомнадзора).
  Следовательно, пункт 1 предписания Управления Роскомнадзора от 29 февраля 2012 года № П-38-0011 об устранении выявленных нарушений, в соответствии с которым на ОАО «Иркутскэнерго» возложена обязанность в срок до 29 августа 2012 года представить в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных, обоснованно признан судом первой инстанции недействительным.
  В то же время суд апелляционной инстанции не может согласиться с выводом суда первой инстанции о незаконности пункта 2 названного предписания, исходя из следующего.
 На основании пункта 8 статьи 86 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать определенные требования, в том числе ознакомить работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
  Иного способа ознакомления работников с указанными документами, кроме как под роспись (то есть путем проставления подписи), закон не предусматривает.
  Следовательно, для подтверждения исполнения требований пункта 8 статьи 86 Трудового кодекса Российской Федерации Общество должно представить доказательства личного ознакомления (под роспись) каждого работника с действующим в ОАО «Иркутскэнерго» Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных» (т. 2, л.д. 76-92).
  Ознакомление работников с названным локальным актом посредством
электронного документооборота, применяемого в Обществе, вопреки позиции суда первой инстанции, не свидетельствует об исполнении предусмотренной законом обязанности.
  Наличие приказа генерального директора ОАО «Иркутскэнерго» от 30 декабря 2011 года № 586 «О введении в действие Стандарта предприятия 011.563.008-2011», в соответствии с которым руководителям структурных подразделений дано указание об ознакомлении подчиненного персонала с требованиями стандарта о защите персональных данных, само по себе (без подтверждающих документов) не означает соблюдение Обществом требований пункта 8 статьи 86 Трудового кодекса Российской Федерации.
  Документов, подтверждающих факт ознакомления работников под роспись с указанным стандартом, Обществом ни в ходе проведения плановой выездной проверки, ни при рассмотрении дела в суде первой инстанции не представлено.
  При рассмотрении дела в порядке апелляционного производства арбитражный суд по имеющимся в деле и дополнительно представленным доказательствам повторно рассматривает дело (часть 1 статьи 268 АПК Российской Федерации).
  Ходатайство об отложении судебного разбирательства для представления указанных документов в суд апелляционной инстанции, несмотря на вопрос председательствующего по делу о том, имеются ли у Общества в наличии подобные документы, представителем ОАО «Иркутскэнерго» заявлено не было.
  В силу части 2 статьи 9 АПК Российской Федерации лица, участвующие в деле, несут риск наступления последствий совершения или несовершения ими процессуальных действий.
  Между тем, суд апелляционной инстанции полагает, что оспаривая пункт 2 предписания по мотиву соблюдения требований пункта 8 статьи 86 Трудового кодекса Российской Федерации, Общество в соответствии с частью 1 статьи 65 АПК Российской Федерации должно было опровергнуть противоположные выводы Управления Роскомнадзора путем представления в суд соответствующих доказательств. Только в этом случае имел бы правовое значение довод ОАО «Иркутскэнерго» о том, что в ходе проведения выездной проверки такие документы не запрашивались, чем были нарушены положения Закона № 294-ФЗ.
  В отсутствие же документов, подтверждающих факт ознакомления работников под роспись со стандартом предприятия 011.563.008-2011, суд апелляционной инстанции не может считать противоречащим закону пункт 2 оспариваемого предписания. Для исполнения этого пункта Обществу необходимо лишь представить в Управление Роскомнадзора такие документы (тем более, если они у него имеются в наличии).
 При изложенных фактических обстоятельствах и правовом регулировании суд апелляционной инстанции приходит к выводу о необходимости отмены суда первой инстанции в части признания недействительным пункта 2 оспариваемого предписания.
  В пункте 25 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 28 мая 2009 года № 36 «О применении Арбитражного процессуального  кодекса Российской Федерации при рассмотрении дел в арбитражном суде апелляционной инстанции» разъяснено, что по результатам рассмотрения апелляционной жалобы, поданной на часть решения суда первой инстанции, суд апелляционной инстанции выносит судебный акт, в резолютивной части которого указывает выводы относительно обжалованной части судебного акта. Выводы, касающиеся необжалованной части судебного акта, в резолютивной части судебного акта не указываются.
  Определением Четвертого арбитражного апелляционного суда от 5 сентября 2012 года были приняты обеспечительные меры в виде приостановления действия предписания Управления Роскомнадзора от 29 февраля 2012 года № П-38-0011 до вступления в законную силу постановления суда апелляционной инстанции по настоящему делу.
  На основании части 1 статьи 97 АПК Российской Федерации обеспечение иска может быть отменено арбитражным судом, рассматривающим дело.
   В связи с вступлением настоящего постановления в законную силу (часть 5 статьи 271 АПК Российской Федерации) принятые обеспечительные меры подлежат отмене.
  Рассмотрев апелляционную жалобу на не вступившее в законную силу решение Арбитражного суда Иркутской области от 6 июля 2012 года по делу № А19-7241/2012, Четвертый арбитражный апелляционный суд, руководствуясь статьями 258, 268-271 Арбитражного процессуального кодекса Российской Федерации,

ПОСТАНОВИЛ:

Решение Арбитражного суда Иркутской области от 6 июля 2012 года по делу №А19-7241/2012 в части признания недействительным пункта 2 предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области от 29 февраля 2012 года № П-38-0011 об устранении выявленных нарушений отменить.

В отмененной части принять новый судебный акт.

В удовлетворении заявленного Иркутским открытым акционерным обществом энергетики и электрификации требования о признании недействительным пункта 2 названного предписания отказать.

В остальной обжалуемой Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области части решение Арбитражного суда Иркутской области от 6 июля 2012 года по делу № А19-7241/2012 оставить без изменения, а апелляционную жалобу – без удовлетворения.

Отменить обеспечительные меры, принятые определением Четвертого
арбитражного апелляционного суда от 5 сентября 2012 года.
Постановление арбитражного суда апелляционной инстанции вступает в законную силу со дня его принятия и может быть обжаловано в двухмесячный срок в кассационном порядке в Федеральный арбитражный суд Восточно-Сибирского округа.

Председательствующий судья                                        Г.Г. Ячменёв
Судьи                                                                            Е.В. Желтоухов
                                                                                     Д.Н. Рылов

ИСТОЧНИК: http://kad.arbitr.ru/Document/Pdf/4ec98c06-99be-42aa-b604-ebaf2a3e395a/33f06435-356c-4fd2-9f9c-c3763ed59d82/A19-7241-2012_20121001_Reshenija_i_postanovlenija.pdf?isAddStamp=True