АРБИТРАЖНЫЙ СУД
ВОЛГО-ВЯТСКОГО ОКРУГА
Кремль, корпус 4, Нижний Новгород, 603082
http://fasvvo.arbitr.ru/ E-mail: _________
ПОСТАНОВЛЕНИЕ
арбитражного суда кассационной инстанции
Нижний Новгород
Дело № А82-19720/2022
29 августа 2023 года
(дата изготовления постановления в полном объеме)
Резолютивная часть постановления объявлена 22.08.2023.
Арбитражный суд Волго-Вятского округа в составе:
председательствующего Домрачевой Н.Н.,
судей Александровой О.В., Радченковой Н.Ш.,
без участия представителей,
рассмотрел в судебном заседании кассационную жалобу
публичного акционерного общества «Название»
на решение Арбитражного суда Ярославской области от 18.02.2023 и
на постановление Второго арбитражного апелляционного суда от 11.05.2023 по делу № А82-19720/2022 по заявлению публичного акционерного общества «Название»
(ИНН: ____________, ОГРН: _________________)
о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ярославской области,
третьи лица, не заявляющие самостоятельных требований относительно предмета спора, – ФИО, ФИО1, ФИО5, ФИО2, ФИО3, ФИО4,и
у с т а н о в и л :
публичное акционерное общество «Название» (далее – Общество) обратилось в Арбитражный суд Ярославской области с заявлением о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ярославской области (далее – Управление) от 31.10.2022 № П-76/6/67-нд/-/1/3.
К участию в деле в качестве третьих лиц, не заявляющих самостоятельных требований относительно предмета спора, привлечены ФИО, ФИО1, ФИО5, ФИО2, ФИО3, ФИО4.
Решением Арбитражного суда Ярославской области от 18.02.2023 в удовлетворении заявления отказано.
Постановлением Второго арбитражного апелляционного суда от 11.05.2023 решение суда оставлено без изменения.
Общество не согласилось с принятыми судебными актами и обратилось в Арбитражный суд Волго-Вятского округа с кассационной жалобой.
Заявитель жалобы считает, что суды сделали выводы, не соответствующие фактическим обстоятельствам и имеющимся в деле доказательствам. Общество указывает на то, что оспариваемое предписание Управления носит неопределенный характер, не содержит указания на конкретные действия, которые надлежит совершить Обществу в целях устранения выявленного нарушения. Подробно доводы заявителя изложены в кассационной жалобе.
Управление в отзыве на кассационную жалобу возразило относительно доводов заявителя, просило оставить жалобу без удовлетворения.
Третьи лица отзывы на кассационную жалобу не представили.
Общество заявило ходатайство о рассмотрении дела в отсутствие представителя.
Иные лица, участвующие в деле, надлежащим образом извещенные о времени и месте рассмотрения кассационной жалобы, явку представителей в судебное заседание не обеспечили.
Законность принятых судебных актов проверена Арбитражным судом Волго-Вятского округа в порядке, установленном в статьях 274, 284 и 286 Арбитражного процессуального кодекса Российской Федерации (далее – АПК РФ).
Из материалов дела следует, что на основании решения от 14.10.2022 №67-нд, изданного в соответствии с поручением заместителя председателя Правительства Российской Федерации от 12.10.2022 № ДЧ-П10-17250, Управлением в отношении Общества, зарегистрированного в реестре операторов, осуществляющих обработку персональных данных, за номером 08-0014394, в период с 18.10.2022 по 31.10.2022 проведена внеплановая документарная проверка в рамках федерального государственного контроля (надзора) за обработкой персональных данных. Учетный номер контрольного (надзорного) мероприятия в едином реестре контрольных (надзорных) мероприятий – 76220531000003875715.
Перечень документов и информации, предоставление которых юридическим лицом необходимо для достижения целей и задач проведения документарной проверки, изложен в приложении 1 к решению от 14.10.2022 № 67-нд.
В ходе проверочных мероприятий по результатам анализа представленных документов и сведений надзорный орган установил, что Общество в нарушение требований части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) допущено осуществление неправомерного доступа к информационной системе персональных данных потребителей своих услуг, повлекшее за собой распространение их персональных данных, в частности адресов электронной почты и номеров телефонов, неограниченному кругу лиц посредством размещения соответствующих сведений в информационно-телекоммуникационной сети «Интернет».
Результаты проверки отражены в справке о результатах внеплановой документарной проверки соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и в акте проверки от 31.10.2022 № А-76/6/67-нд/47.
В целях устранения выявленного нарушения надзорный орган выдал Обществу предписание от 31.10.2022 № П-76/6/67-нд/-/1/3 со сроком исполнения – 31.01.2023.
Управление не согласилось с данным предписанием и обратилось в арбитражный суд с соответствующим заявлением.
Руководствуясь положениями АПК РФ, Закона №152-ФЗ, Арбитражный суд Ярославской области отказал в удовлетворении заявления. Суд исходил из отсутствия в совокупности условий, необходимых для признания оспариваемого предписания недействительным.
Второй арбитражный апелляционный суд согласился с выводом суда первой инстанции и оставил его решение без изменения.
Рассмотрев кассационную жалобу, Арбитражный суд Волго-Вятского округа не нашел правовых оснований для ее удовлетворения.
В соответствии с частью 1 статьи 198, частью 4 статьи 200, частью 2 статьи 201 АПК РФ, пунктом 6 совместного постановления Пленумов Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации от 01.07.1996 № 6/8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» для удовлетворения требований о признании недействительными ненормативных правовых актов государственных органов необходимо наличие двух обязательных условий: несоответствие их закону или иному нормативному правовому акту, а также нарушение прав и законных интересов заявителя.
Закон № 152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемой, в том числе юридическими лицами, с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2 Закона № 152-ФЗ).
Согласно статье 3 Закона № 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; распространением персональных данных являются действия, направленные на раскрытие персональных данных неопределенному кругу лиц; под информационной системой персональных данных понимается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
На основании части 1 статьи 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
В силу части 3 статьи 6 Закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим законом.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор (часть 5 статьи 6 Закона № 152-ФЗ).
Согласно статье 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
На основании части 1 статьи 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (пункты 2, 6, 9 части 2 статьи 19 Закона № 152-ФЗ).
Как свидетельствуют материалы дела, в ходе проверочных мероприятий Управление установило, что Общество допустило совершение неправомерного доступа к информационной системе персональных данных потребителей своих услуг, повлекшее за собой распространение персональных данных неограниченному кругу лиц посредством размещения соответствующих сведений в информационно-телекоммуникационной сети «Интернет».
Факт наличия указанного в акте проверки от 31.10.2022 № А-76/6/67-нд/47 нарушения требований законодательства о персональных данных подтверждается материалами настоящего дела, заявителем по существу не опровергнут.
В пояснениях от 19.10.2022 № 13/28802, данных надзорному органу, Общество отразило, что 02.07.2022 неустановленные лица осуществили несанкционированный доступ к электронному ресурсу <ресурс> и веб-приложению название, внесли изменения в структуру электронных ресурсов, произвели затирание информации, копирование баз данных, а также выполнили замену главной страницы веб-сайта на страницу, содержащую требование о выплате денежных средств под угрозой размещения персональных данных клиентов Общества в открытом доступе. В связи с невыполнением выдвинутых требований 22.07.2022 в Telegram-канале было опубликовано сообщение с прикрепленным архивом, содержащим даты регистраций, пароли, электронные почтовые ящики и номера телефонов потребителей. Как указало Общество, распространение персональных данных стало возможным из-за уязвимостей "Название" (система управления сайтом), которые своевременно не устранили администраторы электронного ресурса, а также ввиду реализации требуемых мер лицом, с которым Обществом заключен договор оказания услуг от 04.04.2022 № 17/22/У, не в полном объеме.
Вместе с тем само по себе заключение договора от 04.04.2022 № 17/22/У, который, к тому же содержит положение о том, что именно заказчик, то есть Общество, отвечает за работу личных кабинетов физических и юридических лиц как единого объекта, хранит данные пользователей, необходимые для входа в личный кабинет, при одновременном наличии положений закона, возлагающих на заявителя обязанности обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного доступа к ним и их распространения, осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также прямо устанавливающих обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, не позволило судам прийти к выводу о том, что недопущение неправомерного доступа к информационной системе персональных данных и их распространения, принятие мер реагирования в случае установления факта неправомерного доступа и распространения персональных данных, повлекшего нарушение прав субъектов персональных данных, являющихся потребителями услуг Общества, находятся вне сферы контроля и компетенции Общества.
При таких обстоятельствах суды обоснованно указали на наличие у Управления оснований для выдачи Обществу оспариваемого предписания в целях устранения выявленного в ходе проверки нарушения обязательных требований в обозначенной сфере регулирования правоотношений.
Следовательно, суды правомерно отказали Обществу в удовлетворении заявления.
Выводы судов соответствуют материалам дела, им не противоречат и не подлежат переоценке судом кассационной инстанции в силу статьи 286 АПК РФ.
Доводы, изложенные в кассационной жалобе, не опровергают сделанные судами выводы и направлены на иную оценку собранных по делу доказательств и фактических обстоятельств дела, аналогичны ранее заявлявшимся в судах доводам, которым дана соответствующая правовая оценка.
С учетом изложенного основания для отмены принятых судебных актов у суда округа отсутствуют.
Нормы материального права применены судами первой и апелляционной инстанций правильно. Судом кассационной инстанции не установлены нарушения норм процессуального права, являющиеся в силу части 4 статьи 288 АПК РФ в любом случае основаниями для отмены принятых судебных актов. Кассационная жалоба не подлежит удовлетворению.
В соответствии со статьей 110 АПК РФ расходы по уплате государственной пошлины, связанной с рассмотрением кассационной жалобы, подлежат отнесению на заявителя.
Руководствуясь пунктом 1 части 1 статьи 287 и статьей 289 Арбитражного процессуального кодекса Российской Федерации, Арбитражный суд Волго-Вятского округа
П О С Т А Н О В И Л :
решение Арбитражного суда Ярославской области от 18.02.2023 и постановление Второго арбитражного апелляционного суда от 11.05.2023 по делу № А82-19720/2022 оставить без изменения, кассационную жалобу публичного акционерного общества «Название» – без удовлетворения.
Постановление вступает в законную силу со дня его принятия и может быть обжаловано в Судебную коллегию Верховного Суда Российской Федерации в срок, не превышающий двух месяцев со дня его принятия, в порядке, предусмотренном в статье 291.1 Арбитражного процессуального кодекса Российской Федерации.
Председательствующий Н.Н. Домрачева
Судьи О.В. Александрова Н.Ш. Радченкова
Источник: https://kad.arbitr.ru/Document/Pdf/2c15f3d9-6588-489c-8fba-b6a28ca42158/ebc9a8cf-ccbd-4b65-83ab-a3ba6f7195b1/A82-19720-2022_20230829_Postanovlenie_kassacionnoj_instancii.pdf?isAddStamp=True
Обжалование решений Роскомнадзора
Обязанность оператора
категорий:
На сайте администрации размещен ответ на обращение, содержащий персональные данные
Невыполнение муниципальным органом обязанности по обезличиванию персональных данных субъектов
Не назначен ответственный; типовые формы не соответствуют закону
Муниципальным органом не приняты меры, предусмотренные законодательством
Обнаружение в сети "Интернет" базы заказов, содержащей данные о пользователях
Непринятие мер, предусмотренных законом
Невыполнение Оператором требования Роскомнадзора об удалении персональных данных субъекта