9999
Комментарии
Российская Федерация
Российская Федерация

Постановление 17-й ААС от

  1. Резолютивная часть постановления объявлена 04 июня 2015 года.
  2. Постановление в полном объеме изготовлено 10 июня 2015 года.
  3. Семнадцатый арбитражный апелляционный суд в составе: председательствующего Щеклеиной Л. Ю.,
  4. судей Риб Л.Х., Грибиниченко О.Г.,
  5. при ведении протокола судебного заседания секретарем Безденежных М.К.,
  6. при участии:
  7. от заявителя – открытого акционерного общества «Акционерный коммерческий банк содействия коммерции и бизнесу» (ИНН 6608003052, ОГРН 1026600000460): не явились;
  8. от заинтересованного лица - Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу (ИНН 6659107821, ОГРН 1049903151935): не явились;
  9. лица, участвующие в деле, о месте и времени рассмотрения дела извещены надлежащим образом в порядке статей 121, 123 Арбитражного процессуального кодекса Российской Федерации, в том числе публично, путем размещения информации о времени и месте судебного заседания на Интернет-сайте Семнадцатого арбитражного апелляционного суда,
  10. рассмотрел в судебном заседании апелляционную жалобу
  11. заявителя – открытого акционерного общества «Акционерный коммерческий банк содействия коммерции и бизнесу»
  12. на решение Арбитражного суда Свердловской области от 04 марта 2015 года
  13. по делу № А60-1187/2015,
  14. принятое судьей Колосовой Л.В.,
  15. по заявлению открытого акционерного общества «Акционерный коммерческий банк содействия коммерции и бизнесу»
  16. к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу
  17. о признании недействительным предписания в части,
  18. Установил:

  19. открытое акционерное общество "Акционерный коммерческий банк содействия коммерции и бизнесу" (далее – заявитель, Банк) обратилось в Арбитражный суд Свердловской области с заявлением о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу (далее - заинтересованное лицо) №П-66-0550/06 от 05.12.2014 в части нарушения обществом ч. 4 ст. 9 и ч. 3 ст. 18 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ) и нарушений п. 5 и п. 7 Постановления Правительства Российской Федерации от 15.09.2008 №687.
  20. Решением Арбитражного суда Свердловской области от 04 марта 2015 года в удовлетворении заявленных требований отказано.
  21. Не согласившись с решением суда первой инстанции, Банк обратился с апелляционной жалобой, в которой просит решение суда отменить, принять новый судебный акт - об удовлетворении заявленных требований.
  22. В обоснование жалобы приводит доводы о незаконности и необоснованности предписания в оспариваемой части. Ссылается на нарушение судом первой инстанции норм материального права, неполное выяснение обстоятельств, имеющих значение для дела.
  23. Управление в письменном отзыве на апелляционную жалобу просит решение суда оставить без изменения, апелляционную жалобу – без удовлетворения, ссылаясь на законность и обоснованность судебного акта.
  24. Лица, участвующие в деле, о времени и месте рассмотрения жалобы извещены надлежащим образом, представителей в судебное заседание не направили, что в силу ч. 3 ст. 156 Арбитражного процессуального кодекса Российской Федерации (далее АПК РФ) не является препятствием для рассмотрения жалобы в их отсутствие.
  25. Приложенные к письменному отзыву на апелляционную жалобу документы не подлежат приобщению к материалам дела на основании ст.268 АПК РФ.
  26. Законность и обоснованность обжалуемого судебного акта проверены судом апелляционной инстанции в порядке, предусмотренном ст.ст. 266, 268 Арбитражного процессуального кодекса Российской Федерации.
  27. Как следует из материалов дела, Управлением в соответствии с положениями Федерального закона от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных от 14.11.2011 №312 в период с 10.11.2014 по 05.12.2014 проведена плановая выездная проверка открытого акционерного общества «Акционерный коммерческий банк содействия коммерции и бизнесу.
  28. В ходе проверки выявлены признаки нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных, зафиксированные в акте проверки от 05.12.2014 №А-66- 1063/02.
  29. 05.12.2014 открытому акционерному обществу «Акционерный коммерческий банк содействия коммерции и бизнесу» выдано предписание об устранении выявленного нарушения №П-66-0550/06.
  30. Не согласившись с выданным предписанием в части нарушений ч. 4 ст. 9 и ч. 3 ст. 18 Закона №152-ФЗ и нарушений п. 5 и п. 7 Постановления Правительства Российской Федерации от 15.09.2008 №687, открытое акционерное общество «Акционерный коммерческий банк содействия коммерции и бизнесу» обратилось в арбитражный суд с соответствующими требованиями.
  31. Отказывая в удовлетворении заявленных требований, суд первой инстанции исходил из законности предписания в оспариваемой части и отсутствия оснований для признания его недействительным.
  32. Исследовав имеющиеся в материалах дела доказательства, рассмотрев доводы, изложенные в апелляционной жалобе, отзыве на жалобу, суд апелляционной инстанции полагает, что оснований для отмены либо изменения решения суда первой инстанции не имеется.
  33. Из системного толкования ч. 1 ст. 198, ст. 201 АПК РФ следует, что для признания недействительным ненормативного правового акта необходимо наличие одновременно двух условий: несоответствие оспариваемого акта закону или иному нормативному правовому акту и нарушение данным актом прав и законных интересов заявителя в сфере предпринимательской деятельности и иной экономической деятельности.
  34. При рассмотрении судом дел о признании недействительными предписаний государственных органов в предмет доказывания входят вопросы о наличии у органа, издавшего предписание, соответствующих полномочий, соответствие предписания положениям законодательных и иных нормативных актов, нарушение прав заявителя оспариваемым предписанием.
  35. Согласно ст. 27 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» (далее - Закон о связи) Порядок осуществления государственного надзора за деятельностью в области связи определяется Правительством Российской Федерации. Государственный надзор за деятельностью в области связи осуществляет федеральный орган исполнительной власти по надзору в области связи (п. 2). Должностные лица органов государственного надзора в порядке, установленном законодательством Российской Федерации, имеют право в том числе выдавать предписания об устранении выявленных нарушений обязательных требований (п.п. 3 п. 8).
  36. В соответствии с п. 5.1.1.4 Постановления Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», п.5 Приказа Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», п.2 Приказа Роскомнадзора от 29.12.2012 № 1480 «Об утверждении Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу» Управление осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
  37. Таким образом, оспариваемое предписание выдано уполномоченным органом, в пределах предоставленных полномочий.
  38. Согласно обязательным требованиям, предусмотренным п. 5 ч. 4 ст. 9 Закона №152-ФЗ согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
  39. В соответствии с п. 1 ст. 3 Закона №152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  40. В соответствии с Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06.03.1997 № 188, к сведениям конфиденциального характера относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные).
  41. По результатам анализа представленных документов установлено, что «Согласие на обработку персональных данных» (Приложение 1 к «Положению по обработке персональных данных в ОАО «СКБ-банк» Версия 3.0») содержит неполный перечень персональных данных, на обработку которых дается согласие субъекта персональных данных. В частности, согласие дано на обработку персональных данных, указанных непосредственно в Согласии на обработку персональных данных, а именно: ФИО, адрес, паспортные данные, биометрические персональные данные. При этом в ходе проверки установлено, что ОАО «СКБ-банк» осуществляется обработка сведений: об образовании, квалификации и о наличии специальных знаний или специальной подготовки; о повышении квалификации или переподготовки; о месте работы и размере заработной платы; о воинском учете; о семейном положении; об имуществе; о номере и серии СНИЛС; об ИНН; о социальных льготах и о социальном статусе, а также хранение копий: паспорта, ИНН, СНИЛС, документов об образовании и др. При этом в копии паспорта помимо заявленных Оператором категорий персональных данных содержатся сведения: о серии, номере и дате выдаче паспорта, место регистрации, семейное положение, о воинском учете, о детях, а также фотография и образец подписи.
  42. На основании изложенного «Согласие на обработку персональных данных» (Приложение 1 к «Положению по обработке персональных данных в ОАО «СКБ-банк» Версия 3.0») содержит неполный перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (например, о воинском учете, семейном положении, детях), что является нарушением ч. 4 ст. 9 Федерального закона «О персональных данных».
  43. Согласие субъекта персональных данных на обработку таких данных необходимо в целях соблюдения прав клиента, поскольку банк без согласия клиента фактически ведет обработку таких данных, которые впоследствии могут быть переданы, например, коллекторскому агентству (могут быть переданы сведения о детях, семье клиента и т.д.), и использованы им.
  44. Ссылка контролирующего органа на копии документов: паспорт, ИНН, СНИЛС подтверждает лишь факт использования имеющихся в них персональных сведений без указания их в перечне персональных данных, что свидетельствует о его неполноте, нарушении прав клиента, в связи с чем соответствующие доводы апеллятора подлежат отклонению.
  45. В силу ч. 3 ст. 18 Закона №152-ФЗ если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных указанную в законе информацию.
  46. В соответствии с п. 1 ч. 4 ст. 18 Закона №152-ФЗ оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные ч. 3 ст. 18 настоящего закона в случае, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором.
  47. В ходе проверки ОАО «СКБ-банк» не представлены документы, подтверждающие уведомление соответствующим оператором третьих лиц -ближайших родственников соискателей/работников, рекомендателей соискателей/работников, непосредственных руководителей с прежних мест работы, родственники и рекомендатели заемщиков, об обработке их персональных данных, осуществляемой согласно анкеты соискателя, а также анкеты кандидата и заявки на подбор персонала, прилагающимся к Положению о подборе персонала, утвержденного 05.03.2011, заявления-анкеты заемщика/поручителя/залогодателя, полученных не от данных субъектов персональных данных, до начала такой обработки.
  48. Таким образом, в случае отсутствия в распоряжении ОАО «СКБ-банк» сведений (документов), подтверждающих уведомление соответствующим оператором третьих лиц об осуществлении обработки их персональных данных, ОАО «СКБ-банк» в соответствии с обязательными требованиями, предусмотренными ч. 3 ст. 18 Федерального закона «О персональных данных», обязан предоставить субъекту персональных данных указанную в законе информацию.
  49. В данном случае выполнение указанных требований не ставится в зависимость от добросовестности субъекта персональных данных, в связи с чем
  50. соответствующие доводы апеллятора подлежат отклонению.
  51. На основании изложенного суд первой инстанции пришел к обоснованному выводу о нарушении ОАО «СКБ-банк» обязательных требований, предусмотренных ч. 3 ст. 18 Федерального закона «О персональных данных».
  52. В соответствии с обязательными требованиями п. 5 Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
  53. В ходе проверки установлено, что согласие на обработку персональных данных закрепляет 3 цели обработки персональных данных:
  54. - исполнение обязательств, заключения и исполнения договоров между субъектом персональных данных и Банком;
  55. - осуществление действий, направленных на взыскание просроченной задолженности;
  56. - использование данной информации при проведении Маркетинговых, социологических и иных исследований.
  57. Также включает в себя согласие на биометрическую обработку, на передачу персональных данных третьим лицам, на трансграничную передачу, которые, в свою очередь, требуют оформления отдельными документами, что является нарушением п. 5 Постановления.
  58. Несовместимость целей обработки персональных данных контролирующим органом обоснована материалами проверки: актом, заключениями, в связи с чем суд апелляционной инстанции отклоняет соответствующий довод апелляционной жалобы.
  59. Довод относительно трансграничной передачи несостоятелен, поскольку не соответствует материалам дела, так, согласно заключению по результатам мероприятия по контролю, проведенного в составе проверки в отношении банка по г.Пскову от 21.11.2014, «Согласие на обработку персональных данных» включает в себя еще согласие на биометрическую обработку, на передачу первоначальных данных третьим лицам, на трансграничную передачу.
  60. В соответствии с обязательными требованиями пп. «а» п. 7 Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должно соблюдаться условие, согласно которому типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.
  61. В ходе проверки установлено, что кредитный договор, согласие субъекта кредитной истории на предоставление и получение информации кредитных историй и другие формы документов, содержащие или допускающие содержание в них персональных данных субъектов персональных данных (физических лиц) отсутствует: либо наименование или адрес оператора; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.
  62. Соответствующий довод апеллятора несостоятелен, поскольку контролирующим органом вменяется нарушение положений пп. «а» п.7 Постановления Правительства РФ от 15.09.2008 №687 по содержанию типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, то есть соблюдению обязательного(ых) условия(й), за рамки данных требований контролирующий орган не вышел, предписание не содержит требований, не предусмотренных указанной нормой права.
  63. Довод заявителя о том, что в указанной части предписание является неисполнимым, поскольку непонятно, какие документы следует приводить в соответствие с п. 7 Постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», подлежит отклонению.
  64. Вывод о несоответствии документов общества требованиям п. 7 Постановления сделан на основании документов общества, представленных при проверке в Новгородской области (стр. 4 п.8 Заключения по Новгородской области от 02.12.2014); поэтому устранить нарушения нужно при использовании форм типовых документов, перечисленных в Заключении, в том числе в формах документах, поименованных в заключении после слова «например».
  65. На основании изложенного суд первой инстанции пришел к обоснованному выводу о том, что ОАО «СКБ-банк» при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных субъектов персональных данных - физических лиц, нарушены обязательные требования, предусмотренные п. 7 Постановления.
  66. Следует отметить, что Банк свободен в выборе способа устранения выявленных управлением нарушений; с учетом выводов, сделанных Управлением в предписании и исходя из формулировки самого текста предписания, его смысл и необходимость устранения выявленных нарушений понятны. При исполнении предписания необходимо учитывать все материалы проверки, содержащие ее результаты, в целях выполнения требований действующего законодательства (конкретные нормы указаны в предписании), регулирующего отношения, связанные с обработкой персональных данных.
  67. Таким образом, не установив совокупность оснований, указанных в ст.ст.198, 201 АПК РФ для признания недействительным предписания в оспариваемой части, суд первой инстанции правомерно отказал в удовлетворении заявленных требований.
  68. Суд апелляционной инстанции отклоняет доводы апеллятора о соблюдении требований ч. 4 ст. 9 и ч. 3 ст. 18 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», положений п. 5 и п. 7 Постановления Правительства Российской Федерации от 15.09.2008 №687 в полном объеме, как противоречащие фактическим обстоятельствам и действующему законодательству. По существу доводы апелляционной жалобы направлены на переоценку фактических обстоятельств и представленных доказательств, что не может служить основанием для отмены принятого решения.
  69. Нарушений норм материального или процессуального права, которые в силу ст. 270 АПК РФ являются безусловным основанием для отмены судебного акта, не установлено.
  70. Таким образом, решение суда первой инстанции следует оставить без изменения, а апелляционную жалобу - без удовлетворения.
  71. Руководствуясь ст.ст. 176, 258, 266, 268, 269, 271 Арбитражного процессуального кодекса Российской Федерации, Семнадцатый арбитражный апелляционный суд
  72. Постановил:

  73. Решение Арбитражного суда Свердловской области от 04 марта 2015 года по делу № А60-1187/2015 оставить без изменения, а апелляционную жалобу открытого акционерного общества «Акционерный коммерческий банк содействия коммерции и бизнесу» – без удовлетворения.
  74. Постановление может быть обжаловано в порядке кассационного производства в Арбитражный суд Уральского округа в срок, не превышающий двух месяцев со дня его принятия, через Арбитражный суд Свердловской области.
  75. Председательствующий Л.Ю.Щеклеина
  76. Судьи Л.Х.Риб
  77. О.Г.Грибиниченко

Печать

Печатать