суббота, 21 июля 2012 г.

Арбитражная практика: Передача управляющими компаниями персональных данных для обработки третьей стороне правомочна при наличии в договоре требований о конфиденциальности


Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) регулярно проводит проверки соблюдения законодательства о персональных данных, которые часто выливаются в судебные разбирательства.

Арбитражному суду Красноярского края в сентябре 2010 года пришлось решать, имеет ли право организации поручить обработку персональных данным третьим лицам, не получая согласия на это  субъектов персональных данных (дело № А33-10809/2010).

Суть спора

В апреле–мае  2010 года Управлением Роскомнадзора по Красноярскому краю были проведены проверки деятельности ООО «УК «Красжилсервис»» и ООО ««УК «Жилбытсервис»» по вопросам соблюдения требований  закона «О персональных данных».

Роскомнадзор посчитал, что общества, в нарушение требований законодательства,  передают персональные данные физических лиц (абонентов) третьему лицу – ЗАО «КрасИн форм», и выдало предписания об устранении выявленных нарушений.

Решения контролирующего органа были оспорены в арбитражном суде.

Позиция Арбитражного суда Красноярского края

Суд установил, что оба общества являются операторами, осуществляющими обработку персональных данных физических лиц (абонентов), проживающих в обслуживаемых обществами многоэтажных домах. При этом между ООО «ГУК «Жилфонд»» (действующего от имени, в том числе и обществ) и ЗАО «КрасИн форм» был заключен договор на информационно-технологическое обслуживание.

В соответствии с условиями договора, общества передали ЗАО «КрасИн форм» персональные данные абонентов в целях автоматизированной обработки, хранения, сопровождения для формирования и распечатывания ежемесячных счетов квитанций для потребителей жилищно-коммунальных услуг. Доказательств получения у абонентов (физических лиц – потребителей жилищно-коммунальных услуг) согласия на передачу персональных данных третьему лица обществами суду представлено не было.

При этом суд отметил, что часть 2 статьи 6 действовавшей на тот момент редакции Федерального закона «О персональных данных» устанавливает исключения из общего правила.

В силу пункта 2 части 2 статьи 6 Федерального закона «О персональных данных»
согласия субъекта персональных данных не требуется в случае, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Общества являются исполнителями, то есть лицами, предоставляющими коммунальные услуги. Передача персональных данных физических лиц – потребителей жилищно- коммунальных услуг осуществлялась обществами в целях исполнения договоров управления многоквартирным жилым домом.

Частью 4 статьи 6 Федерального закона «О персональных данных» установлено, что в случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Судом было также установлено, что договор на информационно-технологическое обслуживание содержит необходимое требование о конфиденциальности персональных данных (раздел 5 договора). При таких обстоятельствах суд посчитал, что предписания управления Роскомнадзора не соответствуют закону, нарушают права и законные интересы обществ (поскольку возлагают на них необоснованные обязанности).

Требования обществ были  удовлетворены. Предписания управления Роскомнадзора по Красноярскому краю были признаны недействительными как не соответствующие закону «О персональных данных».

Постановлением Третьего арбитражного апелляционного суда в декабре 2010 года решение суда первой инстанции было оставлено без изменения. Федеральный арбитражный суд Восточно-Сибирского округа  в мае 2011 года также оставил судебные акты без изменения.

Мой комментарий: В данном случае суду пришлось очень постараться, чтобы объяснить, почему общества были не обязаны получать согласия субъектов персональных данных при передаче её обработки третьим лицам.

В июле 2011 года в закон «О персональных данных» были внесены изменения, которые узаконили право организаций на передачу персональных данных третьим сторонам и её условия:
Федеральный закон «О персональных данных» (действующая редакция)

Статья 6. Условия обработки персональных данных.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора).

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/

Комментариев нет:

Отправить комментарий