21.04.2015р. м. Київ К/800/15835/14
Колегія суддів Вищого адміністративного суду України у складі:
Калашнікової О.В.
Васильченко Н.В.
Леонтович К.Г.
розглянувши у порядку письмового провадження адміністративну справу за касаційною скаргою Інспекції державного архітектурно-будівельного контролю у Київській області на постанову Окружного адміністративного суду міста Києва від 27 грудня 2013 року та ухвалу Київського апеляційного адміністративного суду від 25 лютого 2014 року у справі за позовом Інспекції державного архітектурно-будівельного контролю у Київській області до Державної служби України з питань захисту персональних даних про скасування припису, -
Інспекція державного архітектурно-будівельного контролю у Київській області звернулась в суд з позовом до Державної служби України з питань захисту персональних даних про скасування припису №52 про усунення порушення вимог законодавства у сфері захисту персональних даних, виявленого під час перевірки від 07.03.2013 року.
Позовні вимоги мотивовано тим, що висновки відповідача щодо порушення позивачем вимог частини другої статті 12 Закону України "Про захист персональних даних" не відповідають дійсності, оскільки з метою приведення діяльності Інспекції державного архітектурно-будівельного контролю у Київській області у відповідність до вимог Закону України "Про захист персональних даних" щодо обробки персональних даних було видано накази від 30.11.2011 року №52-"ОД" "Про організацію роботи з захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області" та від 01.02.2013 року №28-"ОД" "Про організацію роботи з захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області", якими було затверджено перелік баз персональних даних та їх місцезнаходження, мету обробки баз персональних даних, категорії персональних даних громадян та посадових осіб, які обробляються позивачем, призначено відповідальних працівників за організацію роботи, пов'язаної з захистом персональних даних при їх обробці, визначено структурні підрозділи, які мають право доступу до баз персональних даних, володільцем яких є позивач. Крім того, позивачем зазначено, що на дату надходження від громадянина ОСОБА_4 скарги жодна база персональних даних позивача не була зареєстрована, з огляду на що, викладене у приписі твердження, що Інспекція державного архітектурно-будівельного контролю у Київській області порушила частину другу статті 12 Закону України "Про захист персональних даних" (у редакції від 23.02.2012 року) не підтверджується.
Постановою Окружного адміністративного суду міста Києва від 27 грудня 2013 року, залишеною без змін ухвалою Київського апеляційного адміністративного суду від 25 лютого 2014 року, позовні вимоги задоволено частково, скасовано пункт 1 припису №52 про усунення порушення вимог законодавства у сфері захисту персональних даних, виявленого під час перевірки від 07.03.2013 року в частині зобов'язання Інспекції державного архітектурно-будівельного контролю у Київській області визначити та затвердити внутрішніми документами процедури внесення, зміни, поновлення/оновлення, використання, поширення, знеособлення, знищення персональних даних та порядок захисту персональних даних, в тому числі від незаконної обробки у базах персональних даних, володільцем яких є суб'єкт перевірки у відповідності до п. 1.8. Типового порядку обробки. В іншій частині позову відмовлено.
Не погоджуючись з оскаржуваними судовими рішеннями, Інспекція державного архітектурно-будівельного контролю у Київській області звернулась до Вищого адміністративного суду України з касаційною скаргою, у якій просить їх скасувати в частині відмови у позові та задовольнити позов повністю.
Перевіривши правову оцінку обставин справи та повноту їх встановлення, проаналізувавши правильність застосування судами норм матеріального та процесуального права, колегія суддів Вищого адміністративного суду України вважає, що касаційна скарга не підлягає задоволенню з наступних підстав.
Як встановлено судами першої та апеляційної інстанцій, посадовими особами Державної служби України з питань захисту персональних даних проведено позапланову виїзну перевірку додержання законодавства у сфері захисту персональних даних Інспекції державного архітектурно-будівельного контролю у Київській області, результати якої оформлені актом №59 перевірки додержання законодавства у сфері захисту персональних даних від 01.03.2013 року.
У зазначеному акті зроблено висновок, що суб'єкт перевірки у своїй діяльності порушує вимоги частини другої статі 12 Закону України "Про захист персональних даних" (у редакції від 23.02.2012 року) та вимоги пунктів 3.1, 1.8 Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 року №3659/5.
На підставі зроблених висновків посадовою особою Державної служби України з питань захисту персональних даних винесено припис №52 про усунення порушення вимог законодавства у сфері захисту персональних даних, виявленого під час перевірки, від 07.03.2013 року, яким у зв'язку із встановленими порушеннями, а саме: 1. жодними внутрішніми документами не врегульовано порядок внесення, зміни, поновлення/оновлення, використання, поширення, знеособлення персональних даних у базах персональних даних, володільцем яких є суб'єкт перевірки та не визначено яким чином та за якою процедурою проводиться знищення персональних даних та порядок захисту персональних даних, в тому числі від незаконної обробки, чим порушуються вимоги абзацу 2 та 4 пункту 1.8 Типового порядку обробки персональних даних; 2. суб'єктом перевірки не було повідомлено скаржника ОСОБА_4 про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані, оскільки правовідносини між скаржником та суб'єктом перевірки настали у жовтні 2011 року, то у відповідності до вимог частини другої статті 12 Закону України "Про захист персональних даних" (у редакції від 23.02.2012 року) суб'єкт перевірки повинен був повідомити скаржника протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних про його права, мету збору персональних даних та осіб, яким передаються його персональні дані виключно в письмовій формі.
У зв'язку з наведеним, суб'єкта перевірки зобов'язано: 1. визначити та затвердити внутрішніми документами процедури внесення, зміни, поновлення/оновлення, використання, поширення, знеособлення, знищення персональних даних та порядок захисту персональних даних, в тому числі від незаконної обробки у базах персональних даних, володільцем яких є суб'єкт перевірки у відповідності до пункту 1.8. Типового порядку обробки; 2. повідомити скаржника ОСОБА_4 про володільця персональних даних, склад та зміст зібраних персональних даних, його права, у відповідності до процедури, передбаченою частиною другою статті 12 Закону України "Про захист персональних даних".
Задовольняючи частково позовні вимоги, суди першої та апеляційної інстанцій виходили з того, що позивачем на момент проведення перевірки врегульовано порядок обробки персональних даних.
Колегія суддів Вищого адміністративного суду України погоджується з висновками судів першої та апеляційної інстанцій, виходячи з наступного.
Відповідно до статті 6 Закон України "Про захист персональних даних" мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки. У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних.
Наказом Міністерства юстиції України від 30.12.2011 року №3659/5 затверджено Типовий порядок обробки персональних даних у базах персональних даних, що встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками персональних даних, у відповідності до пункту 1.8 якого володілець персональних даних визначає: мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження; порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних; відповідальну особу або структурний підрозділ; порядок захисту персональних даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
Як встановлено судами попередніх інстанцій, позивачем з метою приведення діяльності у відповідність до вимог Закону України "Про захист персональних даних" щодо обробки персональних даних було видано накази від 30.11.2011 року №52-"ОД" "Про організацію роботи з захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області" та від 01.02.2013 року №28-"ОД" "Про організацію роботи з захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області".
В цих наказах було затверджено перелік баз персональних даних та їх місцезнаходження, мету обробки баз персональних даних, категорії персональних даних громадян та посадових осіб, які обробляються, призначено відповідальних працівників за організацію роботи, пов'язаної з захистом персональних даних при їх обробці, визначено структурні підрозділи, які мають право доступу до баз персональних даних, володільцем яких є позивач.
Судами попередніх інстанцій зазначено, що копії наказу від 30.11.2011 року №52-"ОД" "Про організацію роботи з захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області", яким позивач обґрунтовує свої позовні вимоги, на виконання вимог ухвали суду від 16.05.2013 року, якою було, зокрема, його витребувано, до суду першої інстанції надано не було.
Проте, як вбачається з матеріалів справи, наказом Інспекції державного архітектурно-будівельного контролю у Київській області від 01.02.2013 року №28-"ОД" "Про організацію роботи захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області", зокрема, наказано вважати таким, що втратив чинність наказ від 30.11.2011 року №52-"ОД" "Про організацію роботи з захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області" (пункт 1); призначити відповідальних працівників за організацію роботи, пов'язану з захистом персональних даних при їх обробці, Володільцем яких є Інспекція (додаток 1) (пункт 2); відповідальним працівникам за організацію роботи, пов'язану з захистом персональних даних, забезпечити використання інформації про персональні дані фізичних та юридичних осіб, її обробку та зберігання лише за згодою їх власників у відповідності до законодавства України та затвердженого Порядку обробки персональних даних у Інспекції державного архітектурно-будівельного контролю у Київській області (додаток 2) (пункт 3).
При цьому, відповідно до положень пункту 1.1 Порядку обробки персональних даних у Інспекції державного архітектурно-будівельного контролю у Київській області, затвердженого в якості додатку 2 до наказу Інспекції державного архітектурно-будівельного контролю у Київській області від 01.02.2013 року №28-"ОД", даний порядок обробки персональних даних розроблено з метою створення умов для забезпечення захисту цих даних від незаконної обробки, а державного архітектурно-будівельного контролю у Київській області також від незаконного доступу до них, належного захисту прав працівників Інспекції державного архітектурно-будівельного контролю у Київській області при обробці їх персональних даних відповідно до вимог статті 24 Закону України "Про захист персональних даних". При цьому, пунктом 1.2 вказаного Порядку визначено, що останній встановлює вимоги до обробки персональних даних у базі персональних даних "Кадри".
Проаналізувавши положення Порядку обробки персональних даних, судами попередніх інстанцій встановлено, що ним врегульовано порядок обробки персональних даних працівників Інспекції державного архітектурно-будівельного контролю у Київській області, однак враховуючи пункт 3 наказу від 01.02.2013 року №28-"ОД" "Про організацію роботи захисту персональних даних в Інспекції державного архітектурно-будівельного контролю у Київській області", встановлено, що приписи Порядку обробки персональних даних у Інспекції державного архітектурно-будівельного контролю у Київській області розповсюджуються, у тому числі, й на обробку та зберігання персональних даних фізичних та юридичних осіб.
Також, на момент проведення перевірки додержання позивачем законодавства у сфері захисту персональних даних наказом Інспекції державного архітектурно-будівельного контролю у Київській області від 01.02.2013 року №28-"ОД" врегульовано порядок обробки персональних даних.
З огляду на наведене, суди попередніх інстанцій дійшли вірного висновку про те, що оскаржуваний припис в частині зобов'язання Інспекції визначити та затвердити внутрішніми документами процедури внесення, зміни, поновлення/оновлення, використання, поширення, знеособлення, знищення персональних даних та порядок захисту персональних даних, в тому числі від незаконної обробки у базах персональних даних, володільцем яких є суб'єкт перевірки у відповідності до пункту 1.8. Типового порядку обробки (пункт 1 припису) підлягає скасуванню.
Разом з тим, як зазначено судами попередніх інстанцій, в приписі вказано, що суб'єктом перевірки не було повідомлено скаржника ОСОБА_4 про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані. Зокрема, оскільки правовідносини між скаржником та суб'єктом перевірки настали у жовтні 2011 року, то у відповідності до вимог частини другої статті 12 Закону України "Про захист персональних даних" (у редакції від 23.02.2012 року) суб'єкт перевірки повинен був повідомити скаржника протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних про його права, мету збору персональних даних та осіб, яким передаються його персональні дані виключно в письмовій формі.
Відповідно до листа суб'єкта перевірки від 28.02.2013 року №7/10-6/2802/06 стосовно надходження документів ОСОБА_4 та ОСОБА_5 отримано наступні пояснення: "24.10.2012 року до Інспекції від громадянина ОСОБА_4 надійшло повідомлення про початок виконання будівельних робіт щодо будівництва садового будинку з господарськими будівлями за адресою: АДРЕСА_1… ".
На дату надходження від гр. ОСОБА_4 скарги жодна база персональних даних Інспекції не була зареєстрована.
Статтею 2 Закону України "Про захист персональних даних" передбачено, що володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Відповідно до статті 9 Закону України "Про захист персональних даних", база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Позивач вказує на те, що ще 05.12.2011 року головному спеціалісту по режиму секретної роботи Державної архітектурно-будівельної інспекції України ОСОБА_6 було передано заяви про реєстрацію шести баз персональних даних від 05.12.2011 року за №7/10-1395, 7/10-1396, 7/10-1398, 7/10-1399, який здійснював подальшу процедуру реєстрації у Державній службі України з питань захисту персональних даних, тобто, процедура реєстрації баз персональних даних, володільцем яких є Іпозивач, розпочалася ще у 2011 році.
Однак, як вірно зазначено судами попередніх інстанцій, з аналізу положень Закону України "Про захист персональних даних" не вбачається, що набуття статусу володільця бази персональних даних безпосередньо пов'язано з отриманням свідоцтва про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних, а відтак суди дійшли вірного висновку про те, що у пункті 2 оскаржуваного припису вимоги відповідають викладеним вище положенням законодавства.
З огляду на наведене, колегія суддів погоджується з висновками судів попередніх інстанцій щодо наявності підстав для частково задоволення позову.
Доводи касаційної скарги не дають підстав для висновку про неправильне застосування судами першої та апеляційної інстанцій норм матеріального чи процесуального права, яке призвело або могло призвести до неправильного вирішення справи.
За правилами частини першої статті 224 Кодексу адміністративного судочинства України суд касаційної інстанції залишає касаційну скаргу без задоволення, а судові рішення без змін, якщо визнає, що суди першої та апеляційної інстанцій не допустили порушень норм матеріального і процесуального права при ухваленні судових рішень чи вчиненні процесуальних дій.
Керуючись статтями 220, 222, 224, 230, 231 Кодексу адміністративного судочинства України, колегія суддів,-
Касаційну скаргу Інспекції державного архітектурно-будівельного контролю у Київській області залишити без задоволення.
Постанову Окружного адміністративного суду міста Києва від 27 грудня 2013 року та ухвалу Київського апеляційного адміністративного суду від 25 лютого 2014 року залишити без змін.
Ухвала набирає законної сили через 5 днів після направлення її копій особам, які беруть участь у справі і може бути переглянута Верховним Судом України з підстав передбачених ст.ст.237-239 Кодексу адміністративного судочинства України.
Судді: (підписи)