АРБИТРАЖНЫЙ СУД ИВАНОВСКОЙ ОБЛАСТИ153022, г. Иваново, ул. Б. Хмельницкого, 59-Б http://ivanovo.arbitr.ru
Именем Российской Федерации
Р Е Ш Е Н И ЕДело № А17-6812/2021
г. Иваново 09 октября 2023 года |
|
|
|
|
|
Резолютивная часть решения объявлена 02 октября 2023 года.
Текст решения в полном объеме изготовлен 09 октября 2023 года.
Арбитражный суд Ивановской области в составе судьи Савельевой М.С.,
при ведении протокола судебного заседания секретарем Римской Л.В.,
рассмотрев в судебном заседании дело по заявлению
общества с ограниченной ответственностью «Ивановоэнергосбыт» (ОГРН: 1033700109651, ИНН: 3702044413)
к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области (Роскомнадзор)
о признании недействительным Предписания № П-37/0/22-нд/-/1/12 от 07.07.2021;
при участии в судебном заседании:
от заявителя – представитель Матвеичева С.В. по доверенности № 2065 от 01.07.2022, паспорту, документу об образовании и свидетельству;
от Роскомнадзора – представитель Павлов А.А. по доверенности от 20.01.2023, служебному удостоверению; представитель Харисов Р.Д. по доверенности от 20.01.2023, служебному удостоверению и документу об образовании.
установил:
в Арбитражный суд Ивановской области обратилось Общество с ограниченной ответственностью «Ивановоэнергосбыт» (далее - заявитель, Общество, ООО «Ивановоэнергосбыт») с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области (далее: Управление Роскомнадзора по Ивановской области) о признании недействительным Предписания № П-37/0/22-нд/-/1/12 от 07.07.2021.
В ходе рассмотрения дела ООО «Ивановоэнергосбыт» заявленные требования поддержало в полном объеме, указав на следующее.
По мнению заявителя, проверка проедена с грубыми нарушениями требований действующего законодательства. Плановая проверка не была включена в ежегодный план проведения проверок. Надзорный орган неоднократно допускал нарушения действующего законодательства, которые привели к нарушению прав Общества. Запросы о представлении документов содержали сокращенный срок для их представления (1 день). Дополнительный запрос документов поступил в Общество 02.06.2021 г. за 5 дней до окончания запланированного срока проверки (08.06.2021) в электронном виде. Дополнительные письменные запросы содержали большой объем истребуемых документов и информации, которые уже были даны сотрудникам Управления Роскомнадзора по Ивановской области непосредственно проводящим выездную проверку в ходе их неоднократных посещений Общества. По мнению заявителя, в данном случае основания для продления проверки отсутствовали. Кроме того, Общество не было извещено о продлении проводимой в отношении него проверки в порядке, установленном п. 20 Правил. Акт проверки Обществом получен не был. В журнале проверки проверяющими запись сделана не была. Оспариваемое предписание не содержит конкретных требований, которые Общество должно выполнить для устранения выявленных нарушений.
Уведомление о начале обработки персональных данных было направлено в соответствии с требованиями действующего законодательства РФ и содержит все обязательные сведения, на основании которых осуществляется обработка персональных данных. Указание на отсутствие в нем необходимых сведений не основано на конкретных фактах обработки персональных со стороны ООО «Ивановоэнергосбыт» с нарушением направленного уведомления. Кроме того, оспариваемое предписание в этой части не учитывает исключения, установленные частью 2 статьи 22 Закона № 152-ФЗ, где указаны основания осуществления обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, относящихся к субъектам персональных Данных, которых связывают с оператором трудовые отношения. Текущая форма обратной связи не выполняет отправки сообщений. Следовательно, обработка персональных данных с ее использованием ООО «Ивановоэнергосбыт» в настоящее время не осуществляется. В реестре операторов по обработке персональных данных Морозова Е.А. числится лицом ответственным за обработку персональных данных в целом по ООО «Ивановоэнергосбыт». В уведомлении на обработку персональных данных Общество указало именно это лицо как ответственное за обработку персональных данных. Роскомнадзор при включении указанных сведений в Реестр не поставил этот факт под сомнение. Таким образом, указание на наличие нарушений, по мнению заявителя, является надуманным.
Управление Роскомнадзора по Ивановской области в письменном отзыве и дополнениях к нему указало, что оспариваемое предписание является законным и обоснованным. Грубых нарушений при проведении проверки допущено не было. Основания для удовлетворения заявленных требований отсутствуют.
Заслушав представителей лиц, участвующих в деле, рассмотрев имеющиеся документы, судом установлено следующее.
На основании Приказов от 28.04.2021 № 22-нд и от 07.06.2021 № 30-нд Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области в период с 12.05.2021 до 07.07.2021 проведена плановая выездная проверка в отношении ООО «Ивановоэнергосбыт» за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Результаты проверки зафиксированы в акте проверки от 07.07.2021 № А-37/0/22-нд/35.
По итогам проверки Управлением Роскомнадзора по Ивановской области ООО «Ивановоэнергосбыт» выдано Предписание № П-37/0/22-нд/-/1/12 от 07.07.2021, следующего содержания.
1. Нарушены требования ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»:
- п. 2 ч. 3 ст. 22 Федерального закона от 27.07.2006 № 52-ФЗ «О персональных данных». В Уведомлении отсутствуют сведения о следующих целях обработки персональных данных: согласно п. 3.1 Положения об обработке и защите персональных данных ООО «Ивановоэнергосбыт» одной из целей обработки персональных данных является: фиксация в целях безопасности Оператора однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
- п. 3 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В Уведомлении отсутствуют сведения об обработке следующих категорий персональных данных: номер контактного телефона; адрес электронной почты; сведения о выполняемой работе, переводах на другую постоянную работу и об увольнении; табельный номер; номер страхового свидетельства пенсионного страхования; пол; гражданство; степень знания иностранного языка; номер телефона; должность (разряд, класс, категория); место работы; дата приема на работу; серия и номер, дата выдачи трудовой книжки; причина нетрудоспособности; сведения о компенсационных выплатах социального характера; адрес электронной почты. Кроме того, по результатам анализа, представленных документов в ходе проверки обработки биометрических персональных данных не установлено.
- п. 4 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В уведомлении не указана следующая категория субъектов персональных данных - пользователи сайта ООО «Ивановоэнергосбыт», обратившихся к оператору посредством формы обратной связи.
- п. 5 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О
персональных данных». В Уведомлении не указаны следующие правовые основания обработки персональных данных (выявленные в ходе анализа документов, представленных ООО «Ивановоэенргосбыт» в ходе проведения проверки): Жилищный Кодекс Российской Федерации; Налоговый Кодекс РФ; Федеральный закон от 26.03.2003 № 35-ФЗ «Об электроэнергетике»; Правила предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных Постановлением Правительства Российской Федерации от 06.05.2011 № 354; Федеральный закон от 06 декабря 2011 г №402-ФЗ «О бухгалтерском учете»; Федеральный закон «О воинской обязанности и военной службе» от 28.03.1998 № 53-ФЗ; -Приказ Минздравсоцразвития России от 28.01.2021 № 29н «Об утверждении Порядка проведения обязательных предварительных и периодических медицинских осмотров работников, предусмотренных частью четвертой статьи 213 Трудового кодекса Российской Федерации, перечня медицинских противопоказаний к осуществлению работ с вредными и (или) опасными производственными факторами, а также работам, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры», договоры субъектами персональных данных и контрагентами ООО «Ивановоэнергосбыт»; согласий субъектов персональных данных на обработку их персональных данных. Кроме того, в Уведомлении некорректно указан в качестве правового основания Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», так как указанный нормативный правовой акт определяет порядок и условия обработки персональных данных и не может являться правовым основанием.
- п.7 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В уведомлении не указаны сведения о принятых мерах, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», а также по обеспечению безопасности персональных данных при их обработке: о назначении ответственного за организацию обработки персональных данных; издании документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; применения правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона.
- п. 7.1 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В Уведомлении указан почтовый адрес лица ответственного за организацию обработки персональных данных - 153002, г. Иваново, пр. Ленина 21 стр. 1. Согласно представленных оператором документов и сведений из ФНС установлено, что ООО «Ивановоэнергосбыт» имеет юридический адрес и фактический адрес 153002, Ивановская область, г. Иваново, ул. Жиделева, д.31.
- п. 10.1 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В Уведомлении отсутствуют сведения о местонахождении следующих баз данных таких информационных систем как: Официального сайта ООО «Ивановоэнегосбыт» Error! Hyperlink reference not valid., АСР «Зевс».
- п. 11 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Оператором не указаны, каким именно образом осуществляется выполнение требований п. 11 ч. 3 ст. 22 Федерального закона «О персональных данных», а приведены лишь ссылки на действующие нормативно-правовые акты.
2. На странице официального сайта ООО «Ивановоэнергосбыт» Error! Hyperlink reference not valid. не реализован механизм получения согласия на обработку персональных данных. Также на сайте не размещен документ определяющий политику обработки персональных данных, обрабатываемых посредством сайта и сведения о реализуемых требованиях к защите персональных данных посредством сайта Error! Hyperlink reference not valid..
Кроме того Политика информационной безопасности утвержденная Приказом от 29.06.2012 № 376, а также Положение об обработке и защите персональных данных ООО «Ивановоэнергосбыт», утвержденное Приказом от 06.08.2012 № 491 не предполагают обработку персональных данных посредством официального сайта ООО «Ивановоэнергосбыт» Error! Hyperlink reference not valid..
ООО «Ивановоэнергосбыт» на запрос Управления от 02.06.2021 № 2693-03/37от 02.006.2021, о предоставлении согласия на обработку персональных данных при размещении информации в общедоступных источниках информации указало, что персональные данные сотрудников в общедоступных источниках не размещаются. Вместе с тем на странице официального сайта https://www.esk-ivanovo.ru/o-kompanii/doska-pochjota» размещены в открытом доступе персональные данные работников оператора в объеме: фамилия, имя, отчество, фотография. В соответствии с ч. 1 ст. 7 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация доступ которой, не ограничен, является общедоступной.
Вышеуказанные обстоятельства свидетельствуют, что ООО «Ивановоэнергосбыт» не соблюдаются требования п. 1 ч. 1 ст. 6, ч. 2 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Согласно приказу от 20.03.2014 № 98 специалист по работе с персоналом Морозова Е.А. назначена ответственным лицом за обработку персональных данных сотрудников. В результате анализа документов, в том числе Положения об обработке и защите персональных данных ООО «Ивановоэнергосбыт» было установлено, что оператор осуществляет обработку персональных данных следующих субъектов:
- работников оператора;
- субъектов, персональные данные которых получены Оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров субъектом персональных данных;
- субъектов, имеющих, когда либо с Оператором трудовые отношения (пенсионеры, уволенные);
- субъектов, однократно проходящих на территорию, на которой находится оператор, в целях обеспечения мероприятий по борьбе с терроризмом;
- пользователи сайта ООО «Ивановоэнергосбыт», обратившихся к оператору посредством формы обратной связи.
Назначение специалиста по работе с персоналом Морозовой Е.А ответственным за организацию обработки персональных данных только сотрудников 000 «Ивановоэнергосбыт» не соответствует требованиям ч. 1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», так как ООО «Ивановоэнергосбыт» кроме персональных данных сотрудников обрабатывает персональные данные иных субъектов персональных данных, указанных выше. Кроме того положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» не предусмотрено назначение оператором нескольких лиц ответственных за обработку персональных данных.
Не согласившись с вынесенным предписанием, ООО «Ивановоэнергосбыт» обратилось в Арбитражный суд Ивановской области о признании его недействительным и подлежащим отмене.
Согласно пункту 1 статьи 2 и части первой статьи 4 Арбитражного процессуального кодекса РФ заинтересованное лицо вправе обратиться в арбитражный суд за защитой своих нарушенных или оспариваемых прав и законных интересов в порядке, установленном настоящим Кодексом.
В соответствии с частью 1 статьи 198 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ) граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.
Частью 4 статьи 200 Арбитражного процессуального кодекса Российской Федерации, установлено, что при рассмотрении дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта или его отдельных положений, оспариваемых решений и действий (бездействия) и устанавливает их соответствие закону или иному нормативному правовому акту, устанавливает наличие полномочий у органа или лица, которые приняли оспариваемый акт, решение или совершили оспариваемые действия (бездействие), а также устанавливает, нарушают ли оспариваемый акт, решение и действия (бездействие) права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности.
Таким образом, для признания ненормативного акта недействительным, решения и действия (бездействия) незаконными необходимо наличие одновременно двух условий: несоответствие их закону или иному нормативному правовому акту и нарушение прав и законных интересов заявителя в сфере предпринимательской или иной экономической деятельности.
Проверив доводы заявителя о наличии грубых нарушений при проведении проверки, суд пришел к следующим выводам.
Пунктом 20 ч. 3.1 ст. 1 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» установлено, что положения настоящего Федерального закона, устанавливающие порядок организации и проведения проверок, не применяются при осуществлении следующих видов государственного контроля (надзора), муниципального контроля: государственный контроль и надзор за обработкой персональных данных.
В соответствии с ч. 8 ст. 98 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», вступившего в силу с 01.07.2021, организация, проведение и оформление результатов проверок, иных мероприятий государственного контроля (надзора), муниципального контроля, не завершенных на день вступления в силу настоящего Федерального закона, осуществляются в соответствии с положениями нормативных правовых актов, действовавших на дату начала этих проверок, иных мероприятий государственного контроля (надзора), муниципального контроля.
Следовательно, соблюдение досудебного порядка в рассматриваемом случае также не требовалось.
В соответствии с ч. 1.1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) установлено, что уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям Закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации.
Спорная проверка проводилась на основании приказа о проведении проверки от 28.04.2021 № 22-нд, приказа о продлении срока проверки от 07.06.2021 № 30-нд, окончена 07.07.2021 выдачей оспариваемого предписания, следовательно, на основании вышеуказанных норм права порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных в рамках рассматриваемой проверки регулировался Постановлением Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
Согласно п. 2 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных Постановлением Правительства РФ от 13.02.2019 № 146, государственный контроль и надзор осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами (далее - орган по контролю и надзору).
В соответствии с п. 21 указанных Правил должностные лица при осуществлении государственного контроля и надзора вправе: а) во время проведения проверки запрашивать и получать от оператора информацию, документы, в том числе локальные акты, необходимые для реализации органом по контролю и надзору своих полномочий; б) посещать во время проведения выездной проверки помещения, используемые оператором при осуществлении деятельности по обработке персональных данных, и проводить их обследование; в) выдавать по итогам проведения проверки предписание об устранении выявленных нарушений.
Таким образом, доводы заявителя о несоблюдении Управлением положений Закона № 294-ФЗ не основаны на нормах действующего законодательства.
В соответствии с п. 5 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных Постановлением Правительства РФ от 13.02.2019 № 146, плановые проверки в отношении операторов проводятся в соответствии с ежегодными планами деятельности органов по контролю и надзору, размещаемыми на официальных сайтах органов по контролю и надзору в информационно-телекоммуникационной сети "Интернет" (далее соответственно - сеть "Интернет", план по контролю).
Из материалов дела следует, что в соответствии с приказом Роскомнадзора от 09.06.2020 № 73 «Об организации планирования деятельности Роскомнадзора на 2021 год» утверждена структура Плана деятельности территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в 2021 году.
На основании Приказа Роскомнадзора от 09.06.2020 № 73 Приказом руководителя Управления от 01.12.2020 № 147 утвержден План деятельности Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по Ивановской области в 2021 году.
В разделе I Выполнение основных задач и функций подраздел I.I Государственный контроль и надзор в пункте 6 Организация и проведение государственного контроля (надзора) за соответствием деятельности операторов, осуществляющих обработку персональных данных, являющихся государственными органами, муниципальными органам, юридическими и физическими лицами, требованиям законодательства Российской Федерации в области персональных данных порядковый номер мероприятия 5 указано ООО «Ивановоэнергосбыт» (ИНН: 3702044413).
В соответствии с п. 5 Постановления Правительства № 146 от 13.02.2019 на основании Приказа руководителя Управления от 01.12.2020 № 147 План деятельности был размещен на сайте Управления (https://37.rkn.gov.ru/p4917/p4918/p32924/).
Доводы заявителя о необходимости включения данной проверки в сводный план проведения плановых проверок, формируемый Генеральной прокуратурой РФ, судом отклоняются как противоречащие вышеуказанным нормам права.
Приказ Управления от 28.04.2021 № 22-нд о проведении плановой выездной проверки в период с 12.05.2021 по 08.06.2021 был доведен до Заявителя разными способами:
- заказным почтовым направлением «Уведомление о проведении плановой выездной проверки» 28.04.2021 № УП-2048-03/37 в адрес ООО «Ивановоэнергосбыт» почтой России;
- посредством электронной почты, о чем имеется расписка от 28.04.2021 Заместителя генерального директора по работе с бытовыми потребителями ООО «Ивановоэнергосбыт» Уварова Р. А. представителя по доверенности от 31.12.2020 № 1930.
В соответствии п. 11. Постановления Правительства РФ №146 от 13.02.2019 орган по контролю и надзору уведомляет оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты начала ее проведения посредством направления копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица, по адресу электронной почты оператора, если такой адрес содержится на сайте оператора в сети «Интернет» либо ранее был представлен оператором в орган по контролю и надзору, или иным доступным способом (далее - любой доступный способ).
Таким образом, Управлением заблаговременно, с учетом выходных и праздничных дней надлежащим образом уведомило ООО «Ивановоэнергосбыт» о проведении плановой выездной проверки.
В соответствии с п. 16 Правил срок проведения плановой проверки не может превышать 20 рабочих дней. В тоже время срок проведения плановой проверки может быть продлен однократно не более чем на 20 рабочих дней.
Приказом Управления от 28.04.2021 № 22-нд о проведении плановой выездной проверки установлен срок 20 рабочих дней.
Основанием для продления срока проведения проверки в соответствии с п. 19 Правил могут быть:
в) непредставление оператором в ходе проведения проверки необходимых документов;
г) выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.
Из материалов дела следует, что в связи с непредставлением доступа к ПО АСР «Зевс» и получением большого количества материалов по письменным запросам Управления к концу срока проведения проверки (ответы на запросы были получены 04.06.2021), Управлением было принято решение о продлении сроков проведения проверки от 07.06.2021 № 30-нд, с которым согласно материалам дела Общество было ознакомлено посредством факсимильной связи, а также на адрес электронной почты.
Согласно материалам дела Приказ Управления от 28.04.2021 № 22-нд о проведении плановой выездной проверки включает в себя «Запрос о предоставлении документов и информации, необходимых для проведения проверки». Документы по указанному запросу не только к сроку начала проведения проверки, но и к его завершению предоставлены в полном объеме небыли.
Ввиду непредставления конкретизирующих документов в рамках проверки Управление принято решение о направлении письменных запросов в адрес ООО «Ивановоэнергосбыт» о представлении материалов в рамках проверки, а именно: запрос № 2684-03/37 был направлен 01.06.2021; запрос № 2693-03/37 был направлен 02.06.2021; запрос №3138-03/37 был направлен 25.06.2021; запрос № 3266-03/37 был направлен 01.07.2021.
Представление полного пакета документов как по первоначальному запросу, так и по последующим заявителем в ходе рассмотрения дела в суде не доказано.
Ввиду наличия установленных Постановлением Правительства № 146 от 13.02.2019 оснований для продления срока проведения проверки, в рассматриваемом случае суд не усматривает процессуальных нарушений со стороны территориального органа Роскомнадзора процессуальных нарушений, на которые указывает заявитель.
Доводы заявителя относительно невручения акта проверки, незаполнения журнала проверок судом отклоняются по следующим основаниям.
Порядок оформления результатов проверки установлен главой VIII Правил, утвержденных Постановлением Правительства Российской Федерации от 13.02.2019 № 146. Так в п. 44 Правил установлено, что акт проверки составляется в 2 экземплярах. Акт проверки подписывается должностными лицами, проводившими проверку. В случае если проводилась выездная проверка, руководитель оператора или иной уполномоченный представитель оператора делает запись в акте выездной проверки об ознакомлении с ним. В случае если руководитель оператора или иной уполномоченный представитель оператора отказывается либо уклоняется от ознакомления с актом выездной проверки, в этом акте делается соответствующая запись.
Один экземпляр акта проверки с копиями приложений вручается руководителю оператора или иному уполномоченному представителю оператора под расписку или направляется в адрес оператора заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле органа по контролю и надзору. Акт проверки может быть составлен в форме электронного документа, подписан усиленной квалифицированной электронной подписью уполномоченного должностного лица, проводившего проверку, и направлен оператору органом по контролю и надзору любым доступным способом в 10-дневный срок со дня подписания акта проверки.
К акту проверки прилагаются протоколы, справки, пояснения оператора и иные документы, подтверждающие заключение по результатам проверки.
Из материалов дела следует, что Акт проверки ООО «Ивановоэнергосбыт» А-37/0/22-нд/35 составлен 07.07.2021.
Из материалов дела следует, что Управление Роскомнадзора предприняло 16.07.2021 попытку вручить данный акт с приложениями (в том числе Предписание от 07.07.2021 № П-37/0/22-НД/-/1/12) руководителю Общества лично. Митрофанов А.С. ознакомившись с материалами от подписи в Акте проверки (об ознакомлении, получении экземпляра акта со всеми приложениями) отказался. Журнал учета проверок ООО «Ивановоэнергосбыт» для внесения соответствующей записи генеральный директор представить сотрудникам Управления отказался, что подтверждается записью в Акте.
Факт посещения ООО «Ивановоэнергосбыт» подтверждается следующими документами: путевой лист № 85 от 16.07.2021 - отметка о выезде сотрудников; акт проверки с отметкой об отсутствии журнала проверок юридического лица, а также с отметкой об отказе ознакомления с актом проверки, докладная записка от 16.07.2021 № 246-нд (стр. 159 Приложения) «О вручении Акта и Предписания по итогам проверки».
Также материалами дела подтверждается, что акт с приложениями направлены посредством электронной почты в адрес ООО «Ивановоэнергосбыт» на имя Уварова Р.А.
Таким образом, Управлением результаты проверки оформлены надлежащим образом, предоставлены руководителю оператора в порядке, установленном положениями Правил.
Доводы заявителя об обратном судом отклоняются как противоречащие вышеуказанным материалам дела. Кроме того, текст предписания Общество приложило к представленному в суд заявлению. Учитывая, что предписание направлялось Обществу как приложение к акту проверки, совокупность вышеуказанных обстоятельств свидетельствует о том, что Общество было надлежащим образом ознакомлено с актом проверки.
Доводы заявителя о том, что направленный по электронной почте акт проверки в виде сканированной копии не был подписан усиленной квалифицированной электронной подписью уполномоченного должностного лица, проводившего проверку, о наличии грубого нарушения не свидетельствует, поскольку Общество имело возможность ознакомиться с его содержанием как в электронном виде, так и при непосредственном вручении 16.07.2021.
На основании вышеизложенного, грубых нарушений со стороны Управления Роскомнадзора по Ивановской области при проведении рассматриваемой проверки судом не установлено.
При оценке вопроса о законности предписания помимо полномочий вынесшего это предписание органа и оснований для проведения проверки выяснению подлежит наличие у заявителя обязанности по соблюдению указанных в предписании положений и проведению требуемых мероприятий.
Предписание по форме соответствует установленным требованиям. Предписание содержит отдельный, выделенный раздел «Содержание нарушения», который включает в себя указание на пункт, часть и статью Федерального закона, положения которого не соблюдаются оператором. Кроме того, приведены описания выявленных нарушений с указанием на конкретные обстоятельства.
Согласно ст. 22 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных ООО «Ивановоэнергосбыт» (ИНН: 3702044413) 14.01.2013 направило в адрес Управления уведомление об обработке персональных данных, уведомление было получено Управлением и Приказом от 24.01.2013 №015 Оператор включен в Реестр, присвоен регистрационный № 37-13-000236.
Вместе с тем, в соответствии с ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае изменения сведений, указанных в Уведомлении, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Согласно материалам дела информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Общество направило в управление 24.03.2014 в связи с изменением названия организации, изменения адреса, изменения ответственного за обработку персональных данных.
Также информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных ООО «Ивановоэнергосбыт» направило в Управление 09.12.2019 в связи с изменением адреса места нахождения и почтового адреса организации.
Другой информации о внесении изменений в Управление не поступало. Обратное заявителем не доказано.
В соответствии с п. 2 ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции, действовавшей на момент выдачи предписания) уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения: цель обработки персональных данных.
Материалами дела подтверждается, что в нарушении вышеуказанных норм права в Уведомлении отсутствуют сведения о следующих целях обработки персональных данных: согласно п. 3.1 Положения об обработке и защите персональных данных ООО «Ивановоэнергосбыт» одной из целей обработки персональных данных является: фиксация в целях безопасности Оператора однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Доводы заявителя о незаконности данного пункта Предписания со ссылкой на исключения, предусмотренные ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ судом отклоняются, поскольку в рассматриваемом случае уведомление Общества в разделе категории субъектов, персональные данные которых обрабатываются указало субъектов, однократно проходящих на территорию, на которой находится оператор, подтвердив тем самым обработку таких сведений. Следовательно, Общество при заполнении уведомления должно было логично и последовательно заполнить все разделы, в том числе и раздел цель обработки персональных данных. Следовательно, данный пункт предписания выдан Обществу правомерно.
Кроме того, ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» посвящена обязанностям операторов персональных данных, связанным с направлением уведомления об обработке персональных данных. Указанное уведомление подается оператором персональных данных до начала работы с персональными данными и предваряет такую работу. В ч. 2 упомянутой статьи указаны случаи, когда оператор персональных данных может не подавать уведомление.
В ходе проведения проверки установлено, что ООО «Ивановоэнергосбыт» осуществляет продажу электрической энергии на оптовом и розничных рынках электрической энергии потребителям, в том числе гражданам и тем самым осуществляет обработку их персональных данных. Обработка персональных данных граждан осуществляется посредством автоматизированной системы ПО АСР «Зевс».
При указанных обстоятельствах обработка персональных данных граждан осуществляется с использованием средств автоматизации и не соответствует условию п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и не позволяют в соответствии с положениями ч. 2 ст. 22 Федерального закона № 152-ФЗ «О персональных данных» осуществлять обработку персональных данных без уведомления уполномоченного органа, в том числе, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных.
Тем самым, ООО «Ивановоэнергосбыт» является оператором персональных данных (регистрационный № 37-13-000236). Сведения, предоставленные в Уведомлении в соответствии ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предоставляются в объеме, определенном пунктами ч. 3 ст. 22 Федерального закона № 152-ФЗ «О персональных данных». На основании требований положений в ч. 7 ст. 22 Закона в случае изменения сведений оператор обязан уведомить об этом Уполномоченный орган.
Доводы ООО «Ивановоэнергосбыт» об обработке персональных данных в соответствии с трудовым законодательством, судом отклоняются, поскольку трудовое законодательство не содержит норм устанавливающих обязанность оператора персональных данных публиковать сведения персонального характера своих сотрудников, размещая их в общедоступных источниках. Как было выявлено в ходе проверки ООО «Ивановоэнергосбыт» размещало фотоизображения сотрудников с указанием фамилии, имени, отчества, занимаемой должности, места работы на официальном сайте организации.
Предоставленные заявителем в суд согласия сотрудников ООО «Ивановоэнергосбыт» о незаконности Предписания не свидетельствуют, поскольку согалсно материалам дела на запрос Управления от 02.06.2021 № 2693-03/37 о предоставлении сотрудниками оператора согласий на обработку их персональных данных, в том числе размещение информации в общедоступных источниках ООО «Ивановоэнергосбыт» предоставлен ответ от 04.06.2021 № 01-05/63 (стр. 297 Приложения к Отзыву Управления от 08.09.2021 № 4498-03/37) в котором указано, что персональные данные сотрудников в общедоступных источниках не размещаются. Общество не лишено возможности представить данные документы в административный орган в рамках исполнения предписания.
В ходе анализа Интернет-ресурса https://www.esk-ivanovo.ru/, принадлежащего ООО «Ивановоэенергосбыт» выявлен сбор персональных данных. Посредством указателя страницы сайта: «https://www.esk-ivanovo.ru/obratnaya-svyaz» граждане направляют обращения. При направлении обращения передают свои персональные данные в объеме имя, район проживания, № лицевого счета, адрес электронной почты, телефон.
Кроме того, ООО «Ивановоэнергосбыт» является оператором персональных данных, на которого распространяются обязанности установленные ч. 1, ч. 7 ст. 22 Федерального закона № 152-ФЗ «О персональных данных». Таким образом, обработка персональных данных субъектов персональных данных выходит за рамки исключительно трудового законодательства.
Кроме того, из содержания Уведомления следует, что в разделе категории субъектов, персональные данные которых обрабатываются заявитель указал: работников Оператора; субъектов, персональные данные которых получены оператором в связи с заключением договора; субъектов, имевших когда-либо с оператором трудовые отношения (пенсионеры, уволенные); субъектов, однократно проходящих на территорию, на которой находится оператор.
В связи с чем, Общество при заполнении уведомления должно было логично и последовательно заполнить все разделы, в том числе и раздел категории персональных данных. Следовательно, данные пункты предписания также выданы Обществу правомерно.
Доказательств обработки биометрических персональных данных заявитель в суд не представил, в связи с чем вывод, изложенный Роскомнадзором на стр. 2 Предписания, является обоснованным.
Несогласие Общества с замечаниями, изложенными в предписании относительно правовых оснований обработки персональных данных, судом отклоняются, поскольку данный пункт не нарушает прав и законных интересов в сфере предпринимательской деятельности, незаконной обязанности на общество также не возлагает.
Из материалов дела следует, что Управлением в ходе плановой выездной проверки установлено размещение формы обратной связи на официальном сайте ООО «Ивановоэнергосбыт».
В ходе анализа Интернет-ресурса https://www.esk-ivanovo.ru/, принадлежащего ООО «Ивановоэенергосбыт» выявлен сбор персональных данных. Посредством указателя страницы сайта: «https://www.esk-ivanovo.ru/obratnaya-svyaz» граждане направляют обращения. При направлении обращения передают свои персональные данные в объеме имя, район проживания, № лицевого счета, адрес электронной почты, телефон.
Доводы Общества о том, что данная форма не была реализована, судом отклоняются, поскольку граждане при направлении обращения могли передавать свои персональные данные: имя, район проживания, № лицевого счета, адрес электронной почты, телефон. То обстоятельство, что Общество не отправляло ответы на данные обращения, не свидетельствует о том, что данная форма не работала и не собирала сведения.
В соответствии ч. 2. ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В то же время, ООО «Ивановоэнергосбыт» на сайте не разместило документ, определяющий политику обработки персональных данных, обрабатываемых посредством сайта и сведения о реализуемых требованиях к защите персональных данных посредством сайта «https://www.esk-ivanovo.ru/», механизм получения согласия граждан на обработку персональных данных не реализован.
Выявленные нарушения подтверждаются скриншотами использования формы обратной связи, изготовленными сотрудниками Управления (стр. 283 Приложения п. № 29 к Отзыву Управления от 08.09.2021 № 4498-03/37).
Одновременно Управлением изучены представленные по запросу документы:
- Положение об обработке и защите персональных данных, Приказом ООО «Ивановоэнергосбыт» от 06.08.2012 № 491 (стр. 161 Приложения), которое не содержит условий, определяющих политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных обрабатываемых посредством информационно-телекоммуникационной сети (сети «Интернет»).
- Политика информационной безопасности, утвержденная Приказом от 29.06.2012 № 376 (стр. 195 Приложения п. № 14, 15 к Отзыву Управления от 08.09.2021 № 4498-03/37), которая не предполагает обработку персональных данных посредством официального сайта ООО «Ивановоэнергосбыт» «https://www.esk-ivanovo.ru/».
Иных документов, как на официальном сайте, так и в ходе направленных запросов по данному вопросу Обществом не представлено, а представленные выше документы не содержат условий и правил по обработке персональных данных, в то время как реальная обработка персональных данных граждан осуществляется посредством сайта.
Таким образом, суд соглашается с выводом Управления Роскомнадзора по Ивановской области о том, что обязанность, предусмотренная п. 1 ч. 1 ст. 6 и ч. 2 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», ООО «Ивановоэнергосбыт» не была исполнена.
В части размещения информации об ответственном за обработку персональных данных лице суд приходит к следующим выводам.
Согласно материалам дела ООО «Ивановоэнергосбыт» в Уведомлении указало в качестве лица, ответственного за обработку персональных данных - Морозову Е.А. Вместе с тем Приказом И.О. генерального директора ООО «Ивановоэнергосбыт» от 20.03.2014 № 98 Морозова Е.А. назначена ответственным лицом за организацию обработки персональных данных только сотрудников ООО «Ивановоэнергосбыт».
Сведений о назначении ответственных лиц за организацию обработки персональных данных иных субъектов персональных данных, таких как соискатели вакантных должностей, уволенные, посетители, пользователи сайта ООО «Ивановоэнергосбыт», обратившиеся к оператору посредством формы обратной связи, а также граждан, с которыми ООО «Ивановоэнергосбыт» заключило договора о поставке электроэнергии Управлению, а аткже при рассмотрении дела в суде не представлено.
В результате анализа документов, в том числе Положения об обработке и защите персональных данных ООО «Ивановоэнергосбыт» Управлением Роскомнадзора правомерно было установлено, что оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
- работников оператора;
- субъектов, персональные данные которых получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров субъектом персональных данных;
- субъектов, имеющих, когда-либо с Оператором трудовые отношения
(пенсионеры, уволенные);
- субъектов, однократно проходящих на территорию, на которой находится оператор, в целях обеспечения мероприятий по борьбе с терроризмом;
- пользователи сайта ООО «Ивановоэнергосбыт», обратившихся к оператору посредством формы обратной связи.
Одновременно Оператором представлены пояснения от 29.06.2021 № 01-051 70 об обработке персональных данных граждан в ПО АСР «Зевс» (стр. 161 Приложения к Отзыву Управления от 08.09.2021 № 4498-03/37).
Таким образом, назначение специалиста по работе с персоналом Морозовой Е.А ответственным за организацию обработки персональных данных только сотрудников ООО «Ивановоэнергосбыт» не соответствует требованиям ч. 1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», так как ООО «Ивановоэнергосбыт» кроме персональных данных сотрудников обрабатывает персональные данные иных субъектов персональных данных, указанных выше.
Неверное указание адреса лица ответственного за организацию обработки персональных данных, Обществом не опровергнуто.
Отсутствие в Уведомлении отсутствуют сведений о местонахождении следующих баз данных таких информационных систем как: Официального сайта ООО «Ивановоэнегосбыт» Error! Hyperlink reference not valid., АСР «Зевс», подтверждаются материалами дела, что свидетельствует о наличии нарушения п. 10.1 ч. 3 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
Срок устранения нарушений указан на стр. 5 предписания, в связи с чем, доводы Общества о его отсутствии являются необоснованными.
Таким образом, приведенные в заявлении и дополнениях к нему доводы не свидетельствуют о незаконности выданного предписания.
Кроме того, согласно материалам дела после завершения Управлением контрольно-надзорного мероприятия в отношении ООО «Ивановоэнергосбыт» и выдачи Предписания от 07.07.2021 № П-37/0/22-нд/-/1/12 Общество направило в адрес Управления информационные письма от 14.10.2021, а также от 08.11.2021, которыми фактически приняло к исполнению положения предписания и предприняло меры по устранению выявленных недостатков.
Исследовав представленные в материалы дела доказательства в их совокупности и взаимной связи, суд пришел к выводу о том, что оспариваемое предписание не возлагает на Общество незаконных обязанностей и не нарушает права и законные интересы в сфере предпринимательской деятельности.
На основании вышеизложенного требования ООО «Ивановоэнергосбыт» подлежат оставлению без удовлетворения.
В соответствии со статьей 110 АПК РФ государственная пошлина в сумме 3000 рублей, уплаченная Обществом при подаче заявления по платежному поручению от 20.07.2021 №3251, подлежит отнесению на заявителя.
Руководствуясь ст.ст. 167, 168, 169, 170, 200, 201 АПК РФ,
Р Е Ш И Л :
1. Требования Общества с ограниченной ответственностью «Ивановоэнергосбыт» (ОГРН: 1033700109651, ИНН: 3702044413) к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области (Роскомнадзор) о признании недействительным Предписания № П-37/0/22-нд/-/1/12 от 07.07.2021 оставить без удовлетворения.
2. Решение может быть обжаловано во Второй арбитражный апелляционный суд (610007, г. Киров, ул. Хлыновская, д. 3) в течение месяца со дня принятия в соответствии со статьями 181, 257, 259 Арбитражного процессуального кодекса Российской Федерации.
Решение может быть обжаловано в Арбитражный суд Волго-Вятского округа (603082, г. Нижний Новгород, Кремль, кор. 4) в срок, не превышающий двух месяцев со дня вступления решения в законную силу в соответствии со статьями 181, 273, 275, 276 Арбитражного процессуального кодекса Российской Федерации при условии, что оно было предметом рассмотрения арбитражного суда апелляционной инстанции или суд апелляционной инстанции отказал в восстановлении пропущенного срока подачи апелляционной жалобы.
Жалобы (в том числе в электронном виде посредством заполнения формы, размещенной в сети «Интернет» по адресу: https://my.arbitr.ru) подаются через Арбитражный суд Ивановской области.
Судья М.С. Савельева
