Проверки Роскомнадзором соблюдения организациями законодательства о защите персональных данных регулярно приводят к судебным разбирательствам. На этот раз арбитражному суду Иркутской области в июле 2012 года (дело № А19-7241/2012) пришлось оценивать правомочность претензий Управления Роскомнадзора по Иркутской области в отношении порядка обработки персональных данных сотрудников в ОАО «Иркутскэнерго».
При рассмотрении данного дела суд, помимо прочего, дал правовую оценку утверждению Роскомнадзора о том, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан в обязательном порядке представить в уполномоченный орган уведомление. Для этого суд изучил функциональное назначение автоматизированной системы управления персоналом.
Суть спора
Управление Роскомнадзора по Иркутской области (далее - Роскомнадзор) в феврале 2012 года провело плановую выездную проверку общества, в ходе которой был выявлен ряд нарушений в плане защиты персональных данных работников:
- Неуведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) о своем намерении осуществлять обработку персональных данных (нарушение части 1 статьи 22 федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»);
- Отсутствие документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных при обработке персональных данных в рамках трудовых отношений (нарушение требований части 8 статьи 86 Трудового кодекса);
- Отсутствие у оператора сведений о местах хранения персональных данных, а также перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (нарушение пункта 13 постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и части 1 статьи 19 закона «О персональных данных»);
- Невключение в заключенный между оператором и третьим лицом договор существенного условия, безусловно подтверждающего обязанность обеспечения конфиденциальности и безопасности персональных данных при их обработке третьим лицом по поручению оператора (нарушение части 3 статьи 6 закона «О персональных данных»).
Общество, считая предписание об устранении выявленных нарушений незаконным, необоснованным и нарушающим права и законные интересы общества, обжаловало его в судебном порядке.
Позиция Арбитражного суда Иркутской области
Позиция Арбитражного суда Иркутской области
Суд рассмотрел предъявленные обществу претензии.
Претензия 1. Неуведомление уполномоченного органа
Суд установил, что общество осуществляет обработку персональных данных смешанным способом – как с использованием, так и без использования автоматизированной системы.
Обработка персональных данных без использования автоматизированной системы осуществляется обществом в отношении персональных данных субъектов персональных данных, не оформивших с ним трудовые отношения, а также заключивших с ним гражданско-правовые договоры.
Общество ОАО «Иркутскэнерго приобрело (по лицензионному договору от 31 марта 2011 года) автоматизированную систему управления персоналом «БОСС-Кадровик» в целях использования её во внутрихозяйственной деятельности».
Функциональным назначением данной системы является:
- Учет кадров и расчет заработной платы (организационный менеджмент, управление расстановкой и штатным расписанием, управление документооборотом, кадровый учет, планирование и управление рабочим временем, расчет заработной платы, формирование регламентированной отчетности для контрольных органов, формирование внутрифирменной отчетности);
- Управление кадровыми процессами (управление рекрутингом, управление мотивацией, управление аттестацией и оценкой, управление карьерой, планирование и прогнозирование фондов оплаты труда, управление обучением и развитием, расчет затрат на мероприятия); расчет ключевых показателей и система поддержки принятия решений (анализ эффективности работы персонала).
По мнению суда, обработка персональных данных работников в указанном объеме посредством автоматизированной системы управления персоналом «БОСС-Кадровик» осуществляется обществом в рамках и в соответствии с трудовым законодательством. Следовательно, уведомление уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных не требуется, и обществом требования законодательства не нарушены.
Одновременно суд отметил, что доказательств обработки посредством автоматизированной системы «БОСС-Кадровик» персональных данных физических лиц, не состоящих в трудовых отношения с ОАО «Иркутскэнерго», проверяющим органом представлено не было.
Претензия 2. Ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных
Суд отклонил доводы Управления Роскомнадзора о нарушении обществом пункта 8 статьи 86 Трудового кодекса РФ в связи с отсутствием документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных, по следующим основаниям.
Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных», утвержденным и.о. генерального директора общества, установлены принципы, условия, способы обработки персональных данных работников общества, способы хранения и уничтожения персональных данных, мероприятия по обеспечению безопасности персональных данных, права и обязанности работников.
В суде представителя общества пояснили, что приказом генерального директора ОАО «Иркутскэнерго» от 30 декабря 2011 г. № 586 «О введении в действие стандарта предприятия СТП 011.563.008-2011» руководителям структурных подразделений было дано указание об ознакомлении подчиненного персонала с требованиями стандарта о защите персональных данных. В обществе внедрен электронный документооборот, в рамках которого предусмотрена возможность руководителей подразделений ознакомить работников с необходимыми документами. Фактически на момент проведения проверки обществом посредством электронного документооборота было выполнено требование генерального директора об ознакомлении персонала с требованиями стандарта о защите персональных данных. Кроме того, каждому работнику обеспечен доступ и возможность ознакомления с указанным стандартом, размещенным на корпоративном портале общества.
Доказательств, свидетельствующих о невыполнении обществом требований Трудового кодекса в отношении работников, Управлением Роскомнадзора суду не было представлено. Кроме того, не были представлены доказательства проведения опроса работников, на которые ссылается общество, отсутствуют доказательства запроса пояснений по факту ознакомления либо неознакомления работников с документами, устанавливающими порядок хранения и использования персональных данных.
Более того, в перечне документов, которые должна была представить проверяемая организация, отсутствует указание на предоставление документов, подтверждающих факт ознакомления сотрудников общества с положениями, устанавливающими порядок хранения и использования персональных данных.
Непредставление обществом в ходе проверки документов, подтверждающих факт ознакомления сотрудников общества с положениями, устанавливающими порядок хранения и использования персональных данных, - без представления проверяющим органом доказательств, свидетельствующих о неознакомлении работников с такими документами, а также без предоставления доказательств о запросе таких документов, - не может быть расценено судом как факт правонарушения. Отсутствие в реестрах передаваемых документов проверяющим лицам указания на документы, подтверждающие исполнение требований пункта 8 статьи 86 Трудового кодекса, не может свидетельствовать о неисполнении обществом указанных требований Трудового кодекса.
Претензия 3. Определены не все места хранения персональных данных
Суд установил, что обществом были определены не все места хранения персональных данных.
По мнению суда, в рамках исполнения требований, предусмотренных пунктами 5, 13 Положения, оператором должен был быть издан локальный документ, определяющий конкретные места хранения (наименование, номер помещения, кабинета, шкафа, сейфа), позволяющий установить расположение для каждой категории обрабатываемых персональных данных.
Определить доступ к материальным носителям согласно представленной в материалы дела номенклатуре дел, а также определить места хранения материальных носителей, содержащих персональные данные, обрабатываемые в различных целях, не представляется возможным в связи с тем, что в номенклатуре указываются документы, разделяемые по направлениям деятельности отделов (бухгалтерия, кадровая работа), и сроки хранения документов. Иных сведений в номенклатуре дел не содержится.
Претензия 4. Невключение в заключенный между оператором и третьим лицом договор существенного условия о соблюдении конфиденциальности
Общество в целях выпуска и обслуживания пластиковых карт для последующего начисления заработной платы на счета сотрудников заключило договоры со Сберегательным банком и ОАО «Газпромбанк». Кроме того, был заключен договор на медицинское обслуживание с ООО Клиника «Сибирское здоровье». В соответствии с договорами, общество поручило указанным организациям обработку персональных данных физических лиц, состоящих с ним в трудовых отношениях.
Согласно пункту 2.1.4 договора на медицинское обслуживание, заключенного между обществом и клиникой, клиника обязана не передавать и не показывать третьим лицам находящуюся у исполнителя документацию об обществе и его работниках.
В договоре на медицинское обслуживание не предусмотрена обязанность третьего лица обеспечить безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных. Дополнительных соглашений к указанному договору заявителем суду не было представлено.
Суд отклонил доводы Управления Роскомнадзора об отсутствии положений о конфиденциальности в договорах, заключенных между обществом и банками. Обществом в материалы дела были представлены: два соглашения о конфиденциальности, заключенные между обществом и банками «Сбербанк» и «Газпромбанк».
Суд установил, что соглашения о конфиденциальности содержат все предусмотренные законом требования. Информация о наличии указанных соглашений была представлена проверяющему органу после получения акта проверки. Причиной непредставления соглашений в момент проверки является отсутствие запроса проверяющего органа об их предоставлении, а также возможность их предоставления только после согласования с банками.
Суд отклонил доводы Управления Роскомнадзора о необходимости указания сведений о конфиденциальности непосредственно в договорах, поскольку такое требование законодательством не предусмотрено.
Итоги
Суд пришел к выводу, что оспариваемое предписание в части пунктов 1, 2 подлежит признанию незаконным, а в части пунктов 3, 4 - является законным, обоснованным и не нарушающим права и законные интересы общества.
Позиция Четвертого арбитражного апелляционного суда
Четвертый арбитражный апелляционный суд в октябре 2012 года решение суда первой инстанции проверял только в части, относящейся к признанным незаконными пунктам 1 и 2.
Претензия 1. Неуведомление уполномоченного органа
Суд апелляционной инстанции счел правильными выводы суда первой инстанции о незаконности данного пункта оспариваемого предписания.
По мнению суда, довод Роскомнадзора о том, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан в обязательном порядке представить в уполномоченный орган уведомление, не основан на нормах права. Ни статьи 18.1 и 19 Закона о персональных данных, ни Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, на которые в обоснование своей позиции ссылалось Управление Роскомнадзора, не позволяют сделать такого вывода.
Напротив, в части 2 статьи 22 Закона о персональных данных прямо предусмотрен перечень из 9 случаев, когда оператор освобождается от обязанности представлять в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством.
По мнению суда, для обработки персональных данных, обрабатываемых в соответствии с трудовым законодательством, вне зависимости от того, каким способом она осуществляется – без использования средств автоматизации или с использованием информационных систем, не требуется уведомления уполномоченного органа (Роскомнадзора).
Претензия 2. Ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных
Суд апелляционной инстанции не согласился с выводом суда первой инстанции о незаконности пункта 2 предписания.
На основании пункта 8 статьи 86 Трудового кодекса, в целях обеспечения прав и свобод человека и гражданина, работодатель и его представители при обработке персональных данных работника обязаны соблюдать определенные требования, в том числе ознакомить работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Иного способа ознакомления работников с указанными документами, кроме как под роспись (то есть путем проставления подписи), закон не предусматривает.
По мнению апелляционного суда, для подтверждения исполнения требований пункта 8 статьи 86 Трудового кодекса общество должно представить доказательства личного ознакомления (под роспись) каждого работника с действующим в обществе Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных». Ознакомление работников с названным локальным актом посредством электронного документооборота, применяемого в обществе, вопреки позиции суда первой инстанции, не свидетельствует об исполнении предусмотренной законом обязанности.
Наличие приказа генерального директора общества от 30 декабря 2011 года № 586 «О введении в действие Стандарта предприятия 011.563.008-2011», в соответствии с которым руководителям структурных подразделений дано указание об ознакомлении подчиненного персонала с требованиями стандарта о защите персональных данных, само по себе (без подтверждающих документов) не означает соблюдение обществом требований пункта 8 статьи 86 Трудового кодекса.
Документов, подтверждающих факт ознакомления работников под роспись с указанным стандартом, обществом ни в ходе проведения плановой выездной проверки, ни при рассмотрении дела в суде первой инстанции представлено не было.
Ходатайство об отложении судебного разбирательства для представления указанных документов в суд апелляционной инстанции, - несмотря на вопрос председательствующего по делу о том, имеются ли у Общества в наличии подобные документы, - представителем ОАО «Иркутскэнерго» заявлено не было.
Суд апелляционной инстанции отметил, что оспаривая пункт 2 предписания, общество должно было опровергнуть противоположные выводы Управления Роскомнадзора путем представления в суд соответствующих доказательств. Только в этом случае имел бы правовое значение довод общества о том, что в ходе проведения выездной проверки такие документы не запрашивались.
В отсутствие же документов, подтверждающих факт ознакомления работников под роспись со стандартом предприятия, суд апелляционной инстанции не смог ппризнать противоречащим закону пункт 2 оспариваемого предписания. Для исполнения этого пункта обществу необходимо было лишь представить в Управление Роскомнадзора такие документы (тем более, если они у него имелись в наличии).
Итоги
Четвертый арбитражный апелляционный суд отменил решение Арбитражного суда Иркутской области в части признания недействительным пункта 2 предписания, выданного Управлением Роскомнадзора. В остальной части решение Арбитражного суда Иркутской области было оставлено без изменения, а апелляционная жалоба Управления Роскомнадзора – без удовлетворения.
В кассационной инстанции дело не рассматривалось.
Мой комментарий: Я посмотрела, какова же численность персонала ОАО «Иркутскэнерго». По данным, имеющимся на его официальном сайте, численность персонала на 01 января 2011 года составляла более 8 тысяч человек (см.: http://www.irkutskenergo.ru/qa/3264.html ). Для такой крупной организации выполнение требования об уведомлении всех сотрудников «под роспись» на бумажном документе, безусловно, потребует значительных усилий. Жаль, что суды не высказали определенного суждения по поводу возможности ознакомить сотрудников в электронном виде.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
Одновременно суд отметил, что доказательств обработки посредством автоматизированной системы «БОСС-Кадровик» персональных данных физических лиц, не состоящих в трудовых отношения с ОАО «Иркутскэнерго», проверяющим органом представлено не было.
Претензия 2. Ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных
Суд отклонил доводы Управления Роскомнадзора о нарушении обществом пункта 8 статьи 86 Трудового кодекса РФ в связи с отсутствием документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных, по следующим основаниям.
Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных», утвержденным и.о. генерального директора общества, установлены принципы, условия, способы обработки персональных данных работников общества, способы хранения и уничтожения персональных данных, мероприятия по обеспечению безопасности персональных данных, права и обязанности работников.
В суде представителя общества пояснили, что приказом генерального директора ОАО «Иркутскэнерго» от 30 декабря 2011 г. № 586 «О введении в действие стандарта предприятия СТП 011.563.008-2011» руководителям структурных подразделений было дано указание об ознакомлении подчиненного персонала с требованиями стандарта о защите персональных данных. В обществе внедрен электронный документооборот, в рамках которого предусмотрена возможность руководителей подразделений ознакомить работников с необходимыми документами. Фактически на момент проведения проверки обществом посредством электронного документооборота было выполнено требование генерального директора об ознакомлении персонала с требованиями стандарта о защите персональных данных. Кроме того, каждому работнику обеспечен доступ и возможность ознакомления с указанным стандартом, размещенным на корпоративном портале общества.
Доказательств, свидетельствующих о невыполнении обществом требований Трудового кодекса в отношении работников, Управлением Роскомнадзора суду не было представлено. Кроме того, не были представлены доказательства проведения опроса работников, на которые ссылается общество, отсутствуют доказательства запроса пояснений по факту ознакомления либо неознакомления работников с документами, устанавливающими порядок хранения и использования персональных данных.
Более того, в перечне документов, которые должна была представить проверяемая организация, отсутствует указание на предоставление документов, подтверждающих факт ознакомления сотрудников общества с положениями, устанавливающими порядок хранения и использования персональных данных.
Непредставление обществом в ходе проверки документов, подтверждающих факт ознакомления сотрудников общества с положениями, устанавливающими порядок хранения и использования персональных данных, - без представления проверяющим органом доказательств, свидетельствующих о неознакомлении работников с такими документами, а также без предоставления доказательств о запросе таких документов, - не может быть расценено судом как факт правонарушения. Отсутствие в реестрах передаваемых документов проверяющим лицам указания на документы, подтверждающие исполнение требований пункта 8 статьи 86 Трудового кодекса, не может свидетельствовать о неисполнении обществом указанных требований Трудового кодекса.
Претензия 3. Определены не все места хранения персональных данных
Суд установил, что обществом были определены не все места хранения персональных данных.
Для справки: Согласно пункту 13 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15.09.2008 № 687, обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.Представленные обществом в ходе проверки локальные документы (номенклатура дел; должностные инструкции работников, обеспечивающих хранение указанных в номенклатуре документов) не позволяют определить места хранения материальных носителей персональных данных, а именно: трудовых книжек работников, личных дел, карт по форме Т-2. Указание о распределении кабинетов за отделами, на которое ссылалось общество, а также ссылка на определение им мест хранения документов, содержащих персональные данные, за соответствующими отделами и определение им номеров кабинетов, не были приняты судом во внимание.
По мнению суда, в рамках исполнения требований, предусмотренных пунктами 5, 13 Положения, оператором должен был быть издан локальный документ, определяющий конкретные места хранения (наименование, номер помещения, кабинета, шкафа, сейфа), позволяющий установить расположение для каждой категории обрабатываемых персональных данных.
Определить доступ к материальным носителям согласно представленной в материалы дела номенклатуре дел, а также определить места хранения материальных носителей, содержащих персональные данные, обрабатываемые в различных целях, не представляется возможным в связи с тем, что в номенклатуре указываются документы, разделяемые по направлениям деятельности отделов (бухгалтерия, кадровая работа), и сроки хранения документов. Иных сведений в номенклатуре дел не содержится.
Претензия 4. Невключение в заключенный между оператором и третьим лицом договор существенного условия о соблюдении конфиденциальности
Общество в целях выпуска и обслуживания пластиковых карт для последующего начисления заработной платы на счета сотрудников заключило договоры со Сберегательным банком и ОАО «Газпромбанк». Кроме того, был заключен договор на медицинское обслуживание с ООО Клиника «Сибирское здоровье». В соответствии с договорами, общество поручило указанным организациям обработку персональных данных физических лиц, состоящих с ним в трудовых отношениях.
Согласно пункту 2.1.4 договора на медицинское обслуживание, заключенного между обществом и клиникой, клиника обязана не передавать и не показывать третьим лицам находящуюся у исполнителя документацию об обществе и его работниках.
В договоре на медицинское обслуживание не предусмотрена обязанность третьего лица обеспечить безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных. Дополнительных соглашений к указанному договору заявителем суду не было представлено.
Суд отклонил доводы Управления Роскомнадзора об отсутствии положений о конфиденциальности в договорах, заключенных между обществом и банками. Обществом в материалы дела были представлены: два соглашения о конфиденциальности, заключенные между обществом и банками «Сбербанк» и «Газпромбанк».
Суд установил, что соглашения о конфиденциальности содержат все предусмотренные законом требования. Информация о наличии указанных соглашений была представлена проверяющему органу после получения акта проверки. Причиной непредставления соглашений в момент проверки является отсутствие запроса проверяющего органа об их предоставлении, а также возможность их предоставления только после согласования с банками.
Суд отклонил доводы Управления Роскомнадзора о необходимости указания сведений о конфиденциальности непосредственно в договорах, поскольку такое требование законодательством не предусмотрено.
Итоги
Суд пришел к выводу, что оспариваемое предписание в части пунктов 1, 2 подлежит признанию незаконным, а в части пунктов 3, 4 - является законным, обоснованным и не нарушающим права и законные интересы общества.
Позиция Четвертого арбитражного апелляционного суда
Четвертый арбитражный апелляционный суд в октябре 2012 года решение суда первой инстанции проверял только в части, относящейся к признанным незаконными пунктам 1 и 2.
Претензия 1. Неуведомление уполномоченного органа
Суд апелляционной инстанции счел правильными выводы суда первой инстанции о незаконности данного пункта оспариваемого предписания.
По мнению суда, довод Роскомнадзора о том, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан в обязательном порядке представить в уполномоченный орган уведомление, не основан на нормах права. Ни статьи 18.1 и 19 Закона о персональных данных, ни Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, на которые в обоснование своей позиции ссылалось Управление Роскомнадзора, не позволяют сделать такого вывода.
Напротив, в части 2 статьи 22 Закона о персональных данных прямо предусмотрен перечень из 9 случаев, когда оператор освобождается от обязанности представлять в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством.
По мнению суда, для обработки персональных данных, обрабатываемых в соответствии с трудовым законодательством, вне зависимости от того, каким способом она осуществляется – без использования средств автоматизации или с использованием информационных систем, не требуется уведомления уполномоченного органа (Роскомнадзора).
Претензия 2. Ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных
Суд апелляционной инстанции не согласился с выводом суда первой инстанции о незаконности пункта 2 предписания.
На основании пункта 8 статьи 86 Трудового кодекса, в целях обеспечения прав и свобод человека и гражданина, работодатель и его представители при обработке персональных данных работника обязаны соблюдать определенные требования, в том числе ознакомить работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Иного способа ознакомления работников с указанными документами, кроме как под роспись (то есть путем проставления подписи), закон не предусматривает.
По мнению апелляционного суда, для подтверждения исполнения требований пункта 8 статьи 86 Трудового кодекса общество должно представить доказательства личного ознакомления (под роспись) каждого работника с действующим в обществе Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных». Ознакомление работников с названным локальным актом посредством электронного документооборота, применяемого в обществе, вопреки позиции суда первой инстанции, не свидетельствует об исполнении предусмотренной законом обязанности.
Наличие приказа генерального директора общества от 30 декабря 2011 года № 586 «О введении в действие Стандарта предприятия 011.563.008-2011», в соответствии с которым руководителям структурных подразделений дано указание об ознакомлении подчиненного персонала с требованиями стандарта о защите персональных данных, само по себе (без подтверждающих документов) не означает соблюдение обществом требований пункта 8 статьи 86 Трудового кодекса.
Документов, подтверждающих факт ознакомления работников под роспись с указанным стандартом, обществом ни в ходе проведения плановой выездной проверки, ни при рассмотрении дела в суде первой инстанции представлено не было.
Ходатайство об отложении судебного разбирательства для представления указанных документов в суд апелляционной инстанции, - несмотря на вопрос председательствующего по делу о том, имеются ли у Общества в наличии подобные документы, - представителем ОАО «Иркутскэнерго» заявлено не было.
Суд апелляционной инстанции отметил, что оспаривая пункт 2 предписания, общество должно было опровергнуть противоположные выводы Управления Роскомнадзора путем представления в суд соответствующих доказательств. Только в этом случае имел бы правовое значение довод общества о том, что в ходе проведения выездной проверки такие документы не запрашивались.
В отсутствие же документов, подтверждающих факт ознакомления работников под роспись со стандартом предприятия, суд апелляционной инстанции не смог ппризнать противоречащим закону пункт 2 оспариваемого предписания. Для исполнения этого пункта обществу необходимо было лишь представить в Управление Роскомнадзора такие документы (тем более, если они у него имелись в наличии).
Итоги
Четвертый арбитражный апелляционный суд отменил решение Арбитражного суда Иркутской области в части признания недействительным пункта 2 предписания, выданного Управлением Роскомнадзора. В остальной части решение Арбитражного суда Иркутской области было оставлено без изменения, а апелляционная жалоба Управления Роскомнадзора – без удовлетворения.
В кассационной инстанции дело не рассматривалось.
Мой комментарий: Я посмотрела, какова же численность персонала ОАО «Иркутскэнерго». По данным, имеющимся на его официальном сайте, численность персонала на 01 января 2011 года составляла более 8 тысяч человек (см.: http://www.irkutskenergo.ru/qa/3264.html ). Для такой крупной организации выполнение требования об уведомлении всех сотрудников «под роспись» на бумажном документе, безусловно, потребует значительных усилий. Жаль, что суды не высказали определенного суждения по поводу возможности ознакомить сотрудников в электронном виде.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
Наталья, спасибо за интересный материал. А, скажите, почему на Ваш взгляд не ставил вопрос о том, что Роскомнадзор вообще не вправе осуществлять надзор за выполнением Трудового законодательства - это прямо вытекает из ст.23 152-ФЗ (обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего ФЗ) и из п.5 ст.3 294-ФЗ (недопустимость проводимых в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора) … проверок исполнения одних и тех же обязательных требований). Глава 14 ТК - вотчина Роструда, а не Роскомнадзора.
ОтветитьУдалитьМихаил, рада, что Вам понравился материал. Да, в законе «О персональных данных» явным образом закреплена функция Роскомнадзора по контролю над исполнением требований этого закона, но сами функции Роскомнадзора по контролю и надзору в области защиты персональных данных установлены значительно шире. В Положение о ведомстве речь идет о всей совокупности законодательных требований в области защиты персональных данных, а не только тех, что содержатся в законе «О персональных данных»:
ОтветитьУдалитьПоложение о федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Утв. Постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228)
1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
5. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет государственный контроль и надзор:
5.1.1.4. за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Именно поэтому глава 14 Трудового кодекса «Защита персональных работников», с моей точки зрения, может быть «вотчиной» Роскомнадзора. Это показывает и судебная практика – я еще не встречала дел, в которых Роструд пытался бы привлечь организацию к ответственности за нарушение положений этой главы (хотя такое, как мне кажется, вполне возможно) :)
Расширение полномочий, предоставленных федеральным законом и вообще норм закона в ведомственных НПА - к сожалению, наша обычная практика, причем все это благополучно регистрируется Минюстом. Но в «Докладе об осуществлении и эффективности в 2011 году федерального государственного надзора за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права» (новый не видел) Роструд подтверждает проверку требований главы 14 ТК РФ. Примеры есть, но не свежие :-) (у меня, во всяком случае)
ОтветитьУдалить