Сейчас все чаще в судах рассматриваются дела, связанные с правомочностью привлечения организаций за нарушения законодательства о защите персональных данных.
На этот раз организация была привлечена к ответственности за изготовление пропусков для сотрудников другой организации, чей объект располагается на её территории (точнее, за то, что начав обработку «чужих» персональных данных, она не уведомила об этом контролирующий орган).
Арбитражный суд Архангельской области рассматривал дело № А05-14388/2011 в марте 2012 года.
Суть спора
Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Архангельской области и Ненецкому автономному округу была проведена внеплановая выездная проверка с целью выполнения требования прокуратуры Исакогорского района г.Архангельска по вопросу соблюдения ЗАО «Лесозавод 25» обязательных требований в области персональных данных.
В ходе проверки было установлено, что на территории ЗАО «Лесозавод 25», имеющего с декабря 2009 года пропускной режим работы, расположена Цигломенская ТЭС, принадлежащая ОАО «Архангельский КоТЭК». В связи с пропускным режимом работы ЗАО «Лесозавод 25» изготовил и выдал шестидесяти девяти работникам ТЭС пропуска для постоянного прохождения и работы на территории общества. Для изготовления пропусков начальник службы контрольно-пропускного режима и пожарной безопасности общества по устной договоренности получил от исполнительного директора ОАО «Архангельский КоТЭК» списки шестидесяти девяти работников этого общества, содержащие их персональные данные: фамилию, имя, отчество, должность, дату рождения.
Общество произвело обработку персональных данных работников ОАО «Архангельский КоТЭК», сфотографировав каждого из них с использованием цифрового фотоаппарата, а затем разместило персональные и биометрические персональные данные работников в памяти персонального компьютера, обработало указанные персональные данные путем систематизации, распечатало пропуска работников и передало их ОАО «Архангельский КоТЭК».
На основании указанных обстоятельств, административный орган пришел к выводу о том, что ЗАО «Лесозавод 25» осуществляет обработку персональных данных работников ОАО «Архангельский КоТЭК» с нарушением требований, установленных частью 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», без уведомления Роскомнадзора об обработке персональных данных.
По результатам проверки был составлен акт и выдано предписание об устранении нарушений, выразившихся в обработке персональных данных без уведомления Роскомнадзора.
Не согласившись с предписанием Управления, общество обратилось в Арбитражный суд.
Позиция Арбитражного суда Архангельской области
По мнению общества, оно не нарушает требования Закона о персональных данных, поскольку осуществляет обработку персональных данных работников ОАО «Архангельский КоТЭК» без использования средств автоматизации.
Суд с такой трактовкой не согласился, поскольку для изготовления пропусков общество с помощью средств вычислительной техники осуществил автоматизированную обработку персональных данных работников.
Суд признал, что в нарушении пункта 1 статьи 22 Закона о персональных данных, «Лесозавод 25» до начала обработки персональных данных не уведомил уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Кроме того суд отметил, что вступившими в законную силу постановлением мирового судьи судебного участка Маймаксанского округа г. Архангельска от 20.01.2012 по делу №4-3/2012 в действиях общества установлен состав административного правонарушения по статье 13.11 Кодекса Российской Федерации об административных правонарушениях в связи с нарушением им требований части 1 статьи 22 Закона № 152-ФЗ. Данным судебным актом обществу назначено административное наказание в виде предупреждения.
Суд счел несостоятельным довод общества об отсутствии обязанности представления уведомления о ранее совершенном правонарушении, поскольку предписание об устранении нарушений направлено на устранение нарушения в случае его продолжения и недопущении аналогичного нарушения в последующие периоды.
Суд отказал в признании недействительным предписания, вынесенного Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Архангельской области и Ненецкому автономному округу в отношении закрытого акционерного общество «Лесозавод 25» об устранении выявленного нарушения.
В апелляционной и кассационной инстанции дело не рассматривалось.
Мой комментарий: В сущности, суд отнёсся к обществу довольно гуманно. Он, например, не стал «раскапывать» вопрос о том, что обработка биометрических персональных данных, в соответствии со ст.11 закона, может проводиться «только при наличии согласия в письменной форме субъекта персональных данных».
Источник: сайт Высшего Арбитражного Суда Российской Федерации
http://www.arbitr.ru/
Комментариев нет:
Отправить комментарий