Постановление Четырнадцатого арбитражного апелляционного суда от 20.01.2013 по делу n А44-5910/2012. Отменить решение, Принять новый судебный акт (п.2 ст.269 АПК)

         На основании раздела 5 данного Положения Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет полномочия по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

В соответствии с разделом 6 названного Положения Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций с целью реализации полномочий в установленной сфере ведения имеет право: запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесенным к компетенции Службы; проводить необходимые расследования, испытания, экспертизы, анализы и оценки, а также научные исследования по вопросам, отнесенным к компетенции Службы; в порядке и случаях, которые установлены законодательством Российской Федерации, применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений.

         Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312 утвержден  Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Данный Регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в рамках проведения проверок при осуществлении государственной функции.

  Согласно пунктам 6, 10-11, 28-32 Регламента Управление проводит проверки деятельности операторов на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных, которые могут носить как плановый, так и внеплановый характер, в форме документарной или выездной проверки. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок территориального органа Службы на текущий календарный год. План утверждается руководителем территориального органа Службы и размещается на официальном сайте территориального органа Службы. Проверка завершается составлением и вручением Оператору акта проверки, выдачей Оператору предписаний об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных.

Информация о порядке проведения проверок предоставляется посредством размещения на официальном сайте Службы и ее территориальных органов в информационно-телекоммуникационной сети Интернет, указанном в пункте 14 настоящего Регламента.

Как следует из представленных документов, проводимая управлением проверка была включена в План деятельности Роскомнадзора по Новгородской области на 2012 год, утвержденный руководителем 15.11.2011 (т.1, л. 66-75).

Таким образом, проверка ТИК проведена административным органом на законных основаниях.

Согласно акту проверки от 27.04.2012 № А-53-02/1125 в ходе проведения мероприятия государственного контроля (надзора) выявлены следующие нарушения обязательных требований:

1. Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (пункт 1).

         Так, бланк  согласия   гражданина,   предложенного   для   назначения   в   состав участковой избирательной комиссии, применяемый ТИК, и бланк заявления-согласия на включение в кадровый резерв ТИК и обучение по программе подготовки членов участковых избирательных комиссий не соответствуют Закону № 152-ФЗ в части отсутствия в них адреса оператора, получающего согласие субъекта персональных данных; перечня действий с персональными данными, на совершение которых дается согласие, общего описания используемых оператором способов обработки персональных данных; срока, в течение которого действует согласие субъекта персональных данных, а также способа его отзыва, если иное не установлено федеральным законом (т.1, л.78).

         Бланк заявления-согласия на использование персональных данных в целях: учета граждан, состоящих в кадровом резерве; оповещения о мероприятиях ТИК; оформления документов в случае назначения в состав избирательной комиссии при проведении очередных выборов - не соответствует Закону № 152-ФЗ в части отсутствия в нем адреса оператора, получающего согласие субъекта персональных данных; срока, в течение которого действует согласие субъекта персональных данных, а также способа его отзыва, если иное не установлено федеральным законом, и содержит неконкретный перечень действий с персональными данными, на совершение которых дается согласие, при отсутствии в нем общего описания используемых оператором способов обработки персональных данных (т. 1,              л. 79).

         Согласно части 4 статьи 9 Закона № 152-ФЗ в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;  цель обработки персональных данных;  перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; подпись субъекта персональных данных.

         Таким образом, следует признать, что бланк  согласия   гражданина,   предложенного   для   назначения   в   состав участковой избирательной комиссии, применяемый ТИК, бланк заявления-согласия на включение в кадровый резерв ТИК и обучение по программе подготовки членов участковых избирательных комиссий и бланк заявления-согласия на использование персональных данных не соответствуют требованиям части 4 статьи 9 Закона № 152-ФЗ, что не отрицается ТИК, а потому пункт предписания об устранении несоответствия  содержания письменного согласия субъекта персональных данных на их обработку требованиям Закона № 152-ФЗ является обоснованным.

         2. Отсутствие в тексте договора от 01.01.2012 № 1 об оказании услуг по организации и осуществлению ведения бухгалтерского учета с бухгалтером ТИК существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке (т.1, л.91): перечня действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также требований к защите обрабатываемых персональных  данных (пункт 3).

  На основании части 3 статьи 6 Закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

         Следовательно, как верно указано управлением, договор от 01.01.2012 № 1 заключен ТИК с нарушением требований законодательства, поэтому предписание об устранении данного нарушения является обоснованным.

         3. Отсутствие в журнале ТИК о регистрации предложений по кандидатурам в состав кадрового резерва ТИК, в журнале  учета выдачи свидетельств о зачислении в кадровый резерв ТИК В.Новгорода цели обработки персональных данных, адресе оператора, сроках обработки персональных данных, перечне  действий с персональными данными, которые будут совершаться в процессе их обработки, общего описания используемых оператором способов обработки персональных данных (т.1, л.76, 77) (пункт 4).

Кроме того, административный орган в акте проверки указывает на то, что в соответствии с полномочиями ТИК, определенными статьей 13 Областного закона Новгородской области от 19.10.2006 № 737-03 «Об Избирательной комиссии Новгородской области и территориальных избирательных комиссиях Новгородской области», ТИК оказывает методическую, организационно-техническую помощь нижестоящим избирательным комиссиям.

Используемые участковыми избирательными комиссиями бланки документов, характер информации в которых предполагает или допускает включение в них персональных   данных (например,   бланк   заявления   о   предоставлении возможности проголосовать вне помещения для голосования или о получении открепительного удостоверения, бланк реестра заявлений (устных обращений) избирателей о предоставлении им возможности проголосовать вне помещения для голосования, бланк списка лиц, присутствовавших при проведении голосования, подсчете голосов избирателей и составлении протокола об итогах голосования и другие), также не соответствуют вышеуказанному требованию.

         На основании подпункта «а» пункта 7 Постановления № 687 при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.

         Поскольку типовые формы документов, разработанных и используемых ТИК, характер информации в которых предполагает или допускает включение в них персональных данных, не содержат указания на отражение данных, предусмотренных подпунктом «а» пункта 7 Постановления № 687, оспариваемое предписание в части требования привести типовые формы документов в соответствие с требованиями вышеуказанного постановления следует признать обоснованным.

         Возражения ТИК по данному пункту относятся лишь к формам документов, разработанных Центральной и областной избирательными комиссиями при проведении выборов федерального и регионального  уровня (т. 1, л. 109-113, т. 2, л. 33, 54, 77), поэтому отклоняются в части, касающейся бланков разработанных и используемых ТИК В.Новгорода.

4. Отсутствие лица, ответственного за организацию обработки персональных данных (пункт 6).

В статье 22.1 Закона № 152-ФЗ указано, что оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;  доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

ТИК ссылается на то, что такое лицо определено распоряжением от 28.12.2009 № 5-РП (т. 1, л. 107). Однако из буквального текста распоряжения следует, что  секретарь комиссии отвечает лишь за сбор и хранение данных, но не за их обработку.

         При таких обстоятельствах предписание Роскомнадзора по Новгородской области об устранении указанного нарушения является обоснованным, на момент судебного разбирательства устранено.

5. Необеспечение оператором доступа к постановлению администрации Великого Новгорода об утверждении Порядка обработки персональных данных структурными подразделениями администрации