среда, 8 января 2014 г.

Арбитражная практика: Собирая избыточные персональные данные, Ростелеком должен был получить согласие на их обработку


Вопрос о получении согласия на обработку персональных данных является одним из проблемных в российском законодательстве - уж слишком много различных условий приходится учитывать.

Арбитражный суд Новгородской области в январе 2013 года рассмотрел дело № А44-7781/2012, в котором общество ОАО Ростелеком пыталось доказать правомочность получения согласия на обработку персональных данных, которое собиралось у граждан при получении ими кода активации для работы на Едином портале государственных и муниципальных услуг (ЕПГУ), да еще от имени Министерства связи и массовых коммуникаций РФ.

Суть спора

Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Новгородской области (Управление Роскомнадзора) в августе-сентябре 2012 года была проведена проверка ОАО Ростелеком в связи с поступлением от гражданина жалобы на действия общества, нарушающие его права в области персональных данных. По результатам рассмотрения материалов проверки обществу было выдано предписание об устранении выявленных нарушений.

Общество не согласилось с законностью выданного предписания и обратилось в арбитражный суд о признании его недействительным.

Позиция ОАО Ростелеком

Представители общества пояснили, что паспортные данные и указанное согласие собираются обществом не для регистрации лица, обратившегося за кодом активации на Едином портале государственных и муниципальных услуг (ЕПГУ), и не для получения услуг, - а с целью идентификации лица, обратившегося за кодом активации, и с целью учета обществом таких лиц.

Никаких документов, подтверждающих полномочия общества на получение согласия на обработку данных от имени Минкомсвязи России, у общества быть не должно, т.к. полномочия общества выступать от имени Министерства вытекают из распоряжения Правительства РФ от 15 октября 2009 года № 1475-р, которым общество определено единым национальным оператором инфраструктуры электронного правительства.

Позиция Управления Роскомнадзора

Общество, действуя согласно им же утвержденному руководству пользователя АРМ оператора, в нарушение части 5 статьи 5 закона «О персональных данных» в ходе предоставления гражданам кода активации на ЕПГУ собирает от обратившихся к нему граждан (обрабатывает) не только категории персональных данных, указанные на портале, но также и паспортные данные (серия, номер, кем выдан, дата выдачи) и адрес регистрации (адрес места жительства).

В бланке на получение согласия, которое собиралось обществом у клиента при получении кода активации, указывалось, что согласие на обработку персональных данных дается Министерству связи и массовых коммуникаций РФ, - что незаконно, так как получения такого согласия от имени Министерства в силу части 4 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не требуется.

Минкомсвязи России представило в суд пояснения, в которых сообщило, что получения согласия на обработку персональных данных от лиц, обратившихся за кодом активации, не требуется, как не требуется и наделения общества от имени Минкомсвязи России полномочиями на получение такого согласия от лиц, обратившихся за кодом активации.

Позиция Арбитражного суда Новгородской области

Суд сделал вывод о том, что гражданин в данном случае выступал как потребитель услуг общества по выдаче кода активации для регистрации на Едином портале государственных и муниципальных услуг (ЕПГУ).

В силу части 5 статьи 5 закона «О персональных данных» содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Общество, действуя в порядке, предусмотренном им же утвержденным руководством пользователя АРМ оператора версии 2.2, для предоставления гражданину кода активации на ЕПГУ собирает (обрабатывает) у обратившихся к нему граждан их персональные данные, указанные на ЕПГУ, а дополнительно к ним - паспортные данные (серия, номер, кем выдан, дата выдачи) и адрес регистрации (адрес места жительства).

Согласно руководству пользователя АРМ оператора, код активации выдается лицу, обратившемуся за получением кода активации, только после получения от него согласия на обработку персональных данных, данного в адрес Минкомсвязи России.

Общество не привело ссылок на нормы законодательства, обязывающие его при выдаче кода активации не только устанавливать личность лиц, обратившихся за кодом активации, но и обрабатывать их персональные данные, такие как паспортные данные (серия, номер, кем выдан, дата выдачи) и адрес регистрации (адрес места жительства), поскольку при обращении за кодом активации в ближайший центр продаж и обслуживания клиентов ОАО «Ростелеком» гражданину необходимо лишь предъявить удостоверяющий личность документ.

Суд согласился с тем, что общество производило обработку избыточных персональных данных, чем те, которые определены к заявленным целям их обработки (для прохождения регистрации на ЕПГУ), - что является нарушением части 5 статьи 5 закона о «О персональных данных». Суд подтвердил, что общество неправомерно собирало у лиц, обратившихся за кодом активации ЕПГУ, согласие на обработку персональных данных от имени Минкомсвязи России.

Суд не принял довод общества о том, что обработка избыточных персональных данных, необходимых самому обществу для решения собственных задач, не обязывает общество представить контролирующему органу доказательств того, что им от собственного имени отбиралось соответствующее согласие лиц на обработку дополнительных персональных данных.

Имеющиеся в деле согласия (как типовое, утвержденное приказом общества, так и фактически отобранное у гражданина) свидетельствуют, что данные согласия собираются от имени Минкомсвязи России в целях предоставления лицу сервисов в инфраструктуре электронного правительства, включая информацию с использованием функциональных возможностей ЕПГУ, то есть в целях реализации положений Закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (хотя пункт 4 статьи 7 указанного закона исключает необходимость получения такого согласия).

Общество же, обрабатывая персональные данные лиц в объеме большем, чем предусмотрено законом № 210-ФЗ, если такая обработка вызвана потребностями самого общества, должно было от своего имени получить согласие лица на обработку персональных данных с указанием в таком согласии соответствующей цели обработки персональных данных. Общество такого рода согласия от своего лица не отбирало, чем нарушало названную норму законодательства.

Арбитражный суд отказал обществу в удовлетворении заявленных требований.

Позиция Четырнадцатого арбитражного апелляционного суда

Четырнадцатый арбитражный апелляционный суд в апреле 2013 года оставил без изменения решение Арбитражного суда Новгородской области, а апелляционную жалобу общества «Ростелеком» без удовлетворения.

В кассационной инстанции дело не рассматривалось.

Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/

1 комментарий:

  1. История еще более грязная.

    Обработка персональных данных граждан в нарушение Положения о федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)" (утверждено Постановлением Правительства Российской Федерации от 24 октября 2011 г. N 861) осуществлялась не государственными служащими (сотрудниками
    Минкомсвязи России), а сотрудниками целого ряда посторонних субъектов частного предпринимательства (не только одного Ростелекома).

    Получается что Ростелеком вообще незаконно получал персональные данные пользователей единого портала государственных и муниципальных услуг. Его задача была вести программную и технологическую разработку портала, а не негласно собирать сведения, составляющие личную и семейную тайну граждан, персональные данные субъектов персональных данных.

    Так например, ничего не подозревающие граждане звонили в телефонную службу поддержки портала, сообщали свои личные сведения государственным служащим (как думали граждане), а, на самом деле они вели разговор с даже не с сотрудниками ОАО "Ростелеком", а сотрудниками какой-то посторонней фирмы-однодневки (вроде бы ЗАО "МЦ НТТ" (ИНН 7704137364; ул.
    Арбат, д.46, стр.1, г. Москва, 119002)).

    От граждан вообще всячески скрывалась принадлежность Ростелекома к порталу, место работы сотрудников технических служб единого портала и т.п. Сотрудники Ростелекома выдавали себя за государственных служащих, работающих в Минкомсвязи России.

    ОтветитьУдалить