пятница, 23 ноября 2012 г.

Арбитражная практика: Согласие на обработку персональных данных


Вопросы, связанные с исполнением законодательства о защите персональных данных, регулярно становятся объектом рассмотрения в судах. Как правило, организации пытаются оспорить результаты проведенных Роскомнадзором проверок.

В данном случае организация оспаривала целую пачку предписаний на устранение нарушений, которые, на мой взгляд, типичны для организаций всех форм собственности.

Дело № А32-12882/2010 в декабре 2010 года рассматривал Арбитражный суд Краснодарского края

Для справки: До июля 2011 года в законе «О персональных данных» существовал перечень случаев (ст.6), когда согласие на обработку персональных данных получать не требовалось, и передача на обработку данных третьим лицам в этот список не была включена. В июле 2011 года в закон были внесены существенные изменения, в том числе был уточнен порядок передачи персональных данных на обработку третьим лицам, и явным образом сказано о необходимости получения предварительного согласия субъекта персональных данных.
Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) "О персональных данных"

Статья 6. Условия обработки персональных данных

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Суть спора

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Краснодарскому краю в марте 2010 года проверило ЗАО «СевКавТИСИЗ».

В ходе проверки были выявлены следующие нарушения требований законодательства:
  • В уведомлении об обработке персональных данных содержались неполные сведения, а именно: отсутствовала специальная категория персональных данных - состояние здоровья (проверяющие нашли в делах выданную поликлиникой справку предварительного медицинского осмотра кандидата на должность).

  • Передача персональных данных работников без их письменного согласия третьим лицам, а именно, в ОАО АКБ «УРАЛСИБ-ЮГ БАНК» для зачисление заработной платы, в ООО «Маковецкий и Партнеры» для осуществление бухгалтерского и юридического сопровождения.

  • В договоре об оказании услуг по организации расчетов с банком отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке.

  • В форме согласия на обработку его персональных данных, подписанной сотрудником Ш., отсутствует цель обработки персональных данных и порядок отзыва согласия

  • Обработка специальной категории персональных данных, таких как состояние здоровья (это все про ту же справку предварительного медицинского осмотра).
Не согласившись с выданными предписаниями, общество обратилось в арбитражный суд.

Позиция Арбитражного суда Краснодарского края

Суд подробно остановился на выявленных нарушениях законодательства.

Получение письменного согласия при передаче персональных данных на обработку третьим лицам. Суд установил, что в связи с передачей персональных данных третьим лицам обществом нарушались права работников и не соблюдались требования закона, поскольку в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Суд счел, что осуществление передачи персональных данных работников ОАО АКБ «УРАЛСИБ-ЮГ БАНК», предоставление личных карточек учета и трудовых книжек работников ООО «Маковецкий и Партнеры» без согласия субъектов персональных данных, а также не включение в договоры условий об обеспечении конфиденциальности и безопасности персональных данных при их обработке, является грубым нарушением как федерального закона № 152-ФЗ, так и Конституции РФ. Передача персональных данных третьим лицам без согласия субъекта персональных данных и необеспечение конфиденциальности персональных данных при их обработке третьими лицами, нарушает права и свободы человека и гражданина при обработке его персональных данных, в том числе право на неприкосновенность частной жизни.

Содержание письменного согласия. В согласии на обработку персональных данных одного из работников общества в нарушение требований закона отсутствует цель обработки персональных данных.

Обработка специальных категорий персональных данных. Из материалов дела следует, что сотрудник Б. не давал обществу надлежащим образом оформленного согласия на обработку такой категории персональных данных, как данные о здоровье, а предусмотренных законодательством оснований для обработки данной категории персональных данных у общества не имелось.

Уведомление Роскомнадзора о намерении осуществлять обработку персональных данных. Общество, являясь оператором по обработке персональных данных, осуществило обработку персональных данных лица, не состоящего с ним на момент обработки данных, в трудовых отношениях, без указания на обработку специальной категории персональных данных (состояние здоровья) в уведомлении, представленном  Роскомнадзор.

На этих основаниях в удовлетворении иска ЗАО «СевКавТИСИЗ» о признании недействительными предписаний об устранении выявленных нарушений было отказано.

Позиция Пятнадцатого арбитражного апелляционного суда

Пятнадцатый арбитражный апелляционный суд в феврале 2011 года полностью поддержал позицию суда первой инстанции.

Общество пыталось обосновать правомочность передачи персональных данных в банк без получения согласия тем, что законом «О банках и банковской деятельности» предусмотрено сохранение банковской тайны. Этот аргумент не был принят апелляционной коллегией на том основании, что закон «О банках и банковской деятельности» не регулирует отношения, связанные с обработкой персональных данных.

Общество также пыталось доказать, что сотрудником Б. было дано письменное согласие на обработку персональных данных. Суд, однако, установил, что полученное обществом от Б. письменное согласие на обработку персональных данных не предусматривает возможность обработки специальной категории персональных данных, в том числе, данных о состоянии здоровья.

Арбитражный суд апелляционной инстанции оставил без изменения решение Арбитражного суда Краснодарского края, а апелляционную жалобу - без удовлетворения.

Федеральный арбитражный суд Северо-Кавказского округа в апреле 2011 года согласился с позицией судов нижестоящих инстанций и оставил их решения в силе.

Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/

Комментариев нет:

Отправить комментарий