Судебная практика

АРБИТРАЖНЫЙ СУД
ВОЛГО-ВЯТСКОГО ОКРУГА
Кремль, корпус 4, Нижний Новгород, 603082
http://fasvvo.arbitr.ru/ E-mail: _________

ПОСТАНОВЛЕНИЕ
арбитражного суда кассационной инстанции
Нижний Новгород

Дело № А82-19720/2022


29 августа 2023 года


(дата изготовления постановления в полном объеме)
Резолютивная часть постановления объявлена 22.08.2023.

Арбитражный суд Волго-Вятского округа в составе:
председательствующего Домрачевой Н.Н.,
судей Александровой О.В., Радченковой Н.Ш.,
без участия представителей,

рассмотрел в судебном заседании кассационную жалобу
публичного акционерного общества «Название»
на решение Арбитражного суда Ярославской области от 18.02.2023 и
на постановление Второго арбитражного апелляционного суда от 11.05.2023 по делу № А82-19720/2022 по заявлению публичного акционерного общества «Название»
(ИНН: ____________, ОГРН: _________________)

о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ярославской области,
третьи лица, не заявляющие самостоятельных требований относительно предмета спора, – ФИО, ФИО1, ФИО5, ФИО2, ФИО3, ФИО4,и

                                            у с т а н о в и л :

публичное акционерное общество «Название» (далее – Общество) обратилось в Арбитражный суд Ярославской области с заявлением о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ярославской области (далее – Управление) от 31.10.2022 № П-76/6/67-нд/-/1/3.
 К участию в деле в качестве третьих лиц, не заявляющих самостоятельных требований относительно предмета спора, привлечены ФИО, ФИО1, ФИО5, ФИО2, ФИО3, ФИО4.
Решением Арбитражного суда Ярославской области от 18.02.2023 в удовлетворении заявления отказано.
 Постановлением Второго арбитражного апелляционного суда от 11.05.2023 решение суда оставлено без изменения.
 Общество не согласилось с принятыми судебными актами и обратилось в Арбитражный суд Волго-Вятского округа с кассационной жалобой.
 Заявитель жалобы считает, что суды сделали выводы, не соответствующие фактическим обстоятельствам и имеющимся в деле доказательствам. Общество указывает на то, что оспариваемое предписание Управления носит неопределенный характер, не содержит указания на конкретные действия, которые надлежит совершить Обществу в целях устранения выявленного нарушения. Подробно доводы заявителя изложены в кассационной жалобе.
 Управление в отзыве на кассационную жалобу возразило относительно доводов заявителя, просило оставить жалобу без удовлетворения.
 Третьи лица отзывы на кассационную жалобу не представили.
Общество заявило ходатайство о рассмотрении дела в отсутствие представителя.
 Иные лица, участвующие в деле, надлежащим образом извещенные о времени и месте рассмотрения кассационной жалобы, явку представителей в судебное заседание не обеспечили.
  Законность принятых судебных актов проверена Арбитражным судом Волго-Вятского округа в порядке, установленном в статьях 274, 284 и 286 Арбитражного процессуального кодекса Российской Федерации (далее – АПК РФ).
  Из материалов дела следует, что на основании решения от 14.10.2022 №67-нд, изданного в соответствии с поручением заместителя председателя Правительства Российской Федерации от 12.10.2022 № ДЧ-П10-17250, Управлением в отношении Общества, зарегистрированного в реестре операторов, осуществляющих обработку персональных данных, за номером 08-0014394, в период с 18.10.2022 по 31.10.2022 проведена внеплановая документарная проверка в рамках федерального государственного контроля (надзора) за обработкой персональных данных. Учетный номер контрольного (надзорного) мероприятия в едином реестре контрольных (надзорных) мероприятий – 76220531000003875715.
 Перечень документов и информации, предоставление которых юридическим лицом необходимо для достижения целей и задач проведения документарной проверки, изложен в приложении 1 к решению от 14.10.2022 № 67-нд.
 В ходе проверочных мероприятий по результатам анализа представленных документов и сведений надзорный орган установил, что Общество в нарушение требований части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) допущено осуществление неправомерного доступа к информационной системе персональных данных потребителей своих услуг, повлекшее за собой распространение их персональных данных, в частности адресов электронной почты и номеров телефонов, неограниченному кругу лиц посредством размещения соответствующих сведений в информационно-телекоммуникационной сети «Интернет».
 Результаты проверки отражены в справке о результатах внеплановой документарной проверки соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и в акте проверки от 31.10.2022 № А-76/6/67-нд/47.
 В целях устранения выявленного нарушения надзорный орган выдал Обществу предписание от 31.10.2022 № П-76/6/67-нд/-/1/3 со сроком исполнения – 31.01.2023.
 Управление не согласилось с данным предписанием и обратилось в арбитражный суд с соответствующим заявлением.
 Руководствуясь положениями АПК РФ, Закона №152-ФЗ, Арбитражный суд Ярославской области отказал в удовлетворении заявления. Суд исходил из отсутствия в совокупности условий, необходимых для признания оспариваемого предписания недействительным.
 Второй арбитражный апелляционный суд согласился с выводом суда первой инстанции и оставил его решение без изменения.
 Рассмотрев кассационную жалобу, Арбитражный суд Волго-Вятского округа не нашел правовых оснований для ее удовлетворения.
 В соответствии с частью 1 статьи 198, частью 4 статьи 200, частью 2 статьи 201 АПК РФ, пунктом 6 совместного постановления Пленумов Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации от 01.07.1996 № 6/8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» для удовлетворения требований о признании недействительными ненормативных правовых актов государственных органов необходимо наличие двух обязательных условий: несоответствие их закону или иному нормативному правовому акту, а также нарушение прав и законных интересов заявителя.
 Закон № 152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемой, в том числе юридическими лицами, с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
 Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2 Закона № 152-ФЗ).
 Согласно статье 3 Закона № 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; распространением персональных данных являются действия, направленные на раскрытие персональных данных неопределенному кругу лиц; под информационной системой персональных данных понимается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
 На основании части 1 статьи 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
  В силу части 3 статьи 6 Закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
 Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим законом.
 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор (часть 5 статьи 6 Закона № 152-ФЗ).
 Согласно статье 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
 На основании части 1 статьи 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
 Обеспечение безопасности персональных данных достигается, в частности применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (пункты 2, 6, 9 части 2 статьи 19 Закона № 152-ФЗ).
 Как свидетельствуют материалы дела, в ходе проверочных мероприятий Управление установило, что Общество допустило совершение неправомерного доступа к информационной системе персональных данных потребителей своих услуг, повлекшее за собой распространение персональных данных неограниченному кругу лиц посредством размещения соответствующих сведений в информационно-телекоммуникационной сети «Интернет».
 Факт наличия указанного в акте проверки от 31.10.2022 № А-76/6/67-нд/47 нарушения требований законодательства о персональных данных подтверждается материалами настоящего дела, заявителем по существу не опровергнут.
  В пояснениях от 19.10.2022 № 13/28802, данных надзорному органу, Общество отразило, что 02.07.2022 неустановленные лица осуществили несанкционированный доступ к электронному ресурсу <ресурс> и веб-приложению название, внесли изменения в структуру электронных ресурсов, произвели затирание информации, копирование баз данных, а также выполнили замену главной страницы веб-сайта на страницу, содержащую требование о выплате денежных средств под угрозой размещения персональных данных клиентов Общества в открытом доступе. В связи с невыполнением выдвинутых требований 22.07.2022 в Telegram-канале было опубликовано сообщение с прикрепленным архивом, содержащим даты регистраций, пароли, электронные почтовые ящики и номера телефонов потребителей. Как указало Общество, распространение персональных данных стало возможным из-за уязвимостей "Название" (система управления сайтом), которые своевременно не устранили администраторы электронного ресурса, а также ввиду реализации требуемых мер лицом, с которым Обществом заключен договор оказания услуг от 04.04.2022 № 17/22/У, не в полном объеме.
 Вместе с тем само по себе заключение договора от 04.04.2022 № 17/22/У, который, к тому же содержит положение о том, что именно заказчик, то есть Общество, отвечает за работу личных кабинетов физических и юридических лиц как единого объекта, хранит данные пользователей, необходимые для входа в личный кабинет, при одновременном наличии положений закона, возлагающих на заявителя обязанности обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного доступа к ним и их распространения, осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также прямо устанавливающих обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, не позволило судам прийти к выводу о том, что недопущение неправомерного доступа к информационной системе персональных данных и их распространения, принятие мер реагирования в случае установления факта неправомерного доступа и распространения персональных данных, повлекшего нарушение прав субъектов персональных данных, являющихся потребителями услуг Общества, находятся вне сферы контроля и компетенции Общества.
 При таких обстоятельствах суды обоснованно указали на наличие у Управления оснований для выдачи Обществу оспариваемого предписания в целях устранения выявленного в ходе проверки нарушения обязательных требований в обозначенной сфере регулирования правоотношений.
 Следовательно, суды правомерно отказали Обществу в удовлетворении заявления.
 Выводы судов соответствуют материалам дела, им не противоречат и не подлежат переоценке судом кассационной инстанции в силу статьи 286 АПК РФ.
 Доводы, изложенные в кассационной жалобе, не опровергают сделанные судами выводы и направлены на иную оценку собранных по делу доказательств и фактических обстоятельств дела, аналогичны ранее заявлявшимся в судах доводам, которым дана соответствующая правовая оценка.
 С учетом изложенного основания для отмены принятых судебных актов у суда округа отсутствуют.
 Нормы материального права применены судами первой и апелляционной инстанций правильно. Судом кассационной инстанции не установлены нарушения норм процессуального права, являющиеся в силу части 4 статьи 288 АПК РФ в любом случае основаниями для отмены принятых судебных актов. Кассационная жалоба не подлежит удовлетворению.
 В соответствии со статьей 110 АПК РФ расходы по уплате государственной пошлины, связанной с рассмотрением кассационной жалобы, подлежат отнесению на заявителя.
 Руководствуясь пунктом 1 части 1 статьи 287 и статьей 289 Арбитражного процессуального кодекса Российской Федерации, Арбитражный суд Волго-Вятского округа


П О С Т А Н О В И Л :

решение Арбитражного суда Ярославской области от 18.02.2023 и постановление Второго арбитражного апелляционного суда от 11.05.2023 по делу № А82-19720/2022 оставить без изменения, кассационную жалобу публичного акционерного общества «Название» – без удовлетворения.

Постановление вступает в законную силу со дня его принятия и может быть обжаловано в Судебную коллегию Верховного Суда Российской Федерации в срок, не превышающий двух месяцев со дня его принятия, в порядке, предусмотренном в статье 291.1 Арбитражного процессуального кодекса Российской Федерации.


Председательствующий                      Н.Н. Домрачева


Судьи О.В. Александрова                   Н.Ш. Радченкова

Источник: https://kad.arbitr.ru/Document/Pdf/2c15f3d9-6588-489c-8fba-b6a28ca42158/ebc9a8cf-ccbd-4b65-83ab-a3ba6f7195b1/A82-19720-2022_20230829_Postanovlenie_kassacionnoj_instancii.pdf?isAddStamp=True 

Информация по делу
Статьи
ФЗ "О персональных данных"
Суд
АРБИТРАЖНЫЙ СУД ВОЛГО-ВЯТСКОГО ОКРУГА
Судья
Домрачевой Н.Н.
Дата решения
2023-08-29
Категории
Распространение
Обжалование решений Роскомнадзора
Обязанность оператора
Другие дела из подобных
категорий:

Не принято мер по предоставлению уведомления в уполномоченный государственный орган по обработке персональных данных;отсутствуют место (места) для хранения персональных данных (материальных носителей);не принято мер, направленных на исключение несанкционированного доступа к персональным данным сотрудников организации

Работники, осуществляющие обработку персональных данных, не были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных,об особенностях и правилах осуществления такой обработки

Не исполняются требования ст. 18.1, 19 Федерального закона  «О персональных данных», ст. 85, 86,87  ТК РФ

На сайте администрации размещен ответ на обращение, содержащий персональные данные

Размещение на сайте документа “Устройство выпускников 2013.docx”, содержащего персональные данные учащихся школы и законных представителей

Невыполнение муниципальным органом обязанности по обезличиванию персональных данных субъектов

Не назначен ответственный; типовые формы не соответствуют закону

Муниципальным органом не приняты меры, предусмотренные законодательством

Обнаружение в сети "Интернет" базы заказов, содержащей данные о пользователях

Размещение на информационных досках многоквартирного дома копии решения суда,содержащего персональные данные субъектов

Не приняты меры, необходимые для обеспечения выполнения обязанностей, предусмотренных федеральным законодательством

Непринятие мер, предусмотренных законом

Невыполнение Оператором требования Роскомнадзора об удалении персональных данных субъекта

Отсутствует внутренний контроль (аудит)

Повторное совершение WhatsApp LLC правонарушения при сборе персональных данных российских пользователей