суббота, 16 июня 2018 г.

Арбитражная практика: Для осуществления обработки фото на пропуске требуется письменное согласие гражданина


Хотя закон «О персональных данных» у нас существует уже давно, до сих пор многие операторы не разобрались в особенностях его применения и регулярно получают предписания от Роскомнадзора по устранению недостатков в своей работе.

Арбитражный суд Мурманской области в апреле 2017 года рассмотрел дело № А42-342/2017, в котором основной претензией контролирующего органа было то, что «Учебно-спортивный центр» Комитета по физической культуре и спорту Мурманской области при оформлении пропусков гражданам на посещение бассейна не получал от них согласия на обработку их биометрических персональных данных.

Суть спора

Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) по Мурманской области в октябре 2016 года в целях контроля соответствия обработки персональных данных требованиям законодательства была проведена плановая выездная проверка «Учебно-спортивного центра» Комитета по физической культуре и спорту Мурманской области

В результате проверки Управлением было установлено, следующее:
  • Предприятием было представлено «Согласие на обработку персональных данных», содержание которого не соответствует требованиям закона № 152-ФЗ «О персональных данных», а именно: не указан срок, в течение которого действует согласие субъекта персональных данных;

  • В соответствии с Положением о порядке посещения плавательного бассейна для различных категорий населения в рамках Государственной программы Мурманской области «Развитие физической культуры и спорта» на 2014-2020 года, утвержденного председателем Комитета по физической культуре и спорту Мурманской области, граждане предоставляют предприятию «фотографию на пропуск», которая размещается на документе «Пропуск» для установления личности субъекта персональных данных.

  • Согласий в письменной форме субъектов ПДн на обработку их биометрических персональных данных в ходе проверки предприятием представлено не было, что является нарушением требований части 1 статьи 11 закона № 152-ФЗ.
Предприятию было выдано предписание устранить выявленные нарушения. Считая предписание незаконным и нарушающим его права и законные интересы, предприятие обратилось в арбитражный суд.

Позиция Арбитражного суда Мурманской области

Арбитражный суд Мурманской области в апреле 2017 года отметил, что из представленных согласий на обработку персональных данных следует, что согласие вступает в силу со дня его подписания и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления в произвольной форме. 

Установив, что представленные заявителем в ходе проверки согласия на обработку персональных данных не содержат конкретного срока, в течение которого они действуют, Управление посчитало, что предприятием были нарушены требования подпункта 8 части 4 статьи 9 Закона № 152-ФЗ.

По мнению суда, вышеуказанная законодательная норма не предусматривает указания в согласии конкретного срока, в течение которого оно действует, и предельный срок действия такого согласия также не установлен законодателем. В рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом письменного отзыва в произвольной форме.

Фотографические изображения, содержащиеся на пропусках, являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в пропуске, и эти данные используются оператором для установления личности в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, для осуществления обработки оператором фотографического изображения на пропуске с указанием фамилии имени и отчества, требуется письменное согласие субъекта биометрических ПДн.

Суд отметил, что в приложенных к Справке (сведениях) о результатах осуществления государственного контроля и надзора за соответствием обработки ПДн требованиям законодательства РФ в области ПДн копиях пропусков отсутствуют фотографии клиентов.

Арбитражный суд признал недействительным предписание Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Мурманской области.

Позиция Тринадцатого арбитражного апелляционного суда

Тринадцатый арбитражный апелляционный суд в июле 2017 года отметил, что указание точного срока действия согласия субъекта ПДн на их обработку в привязке к конкретному временному периоду или календарной дате в данном случае невозможно, поскольку Предприятие, как оператор ПДн, не в состоянии заранее с достоверностью определить временной промежуток, до какой календарной даты конкретный пользователь услуг плавательного бассейна будет фактически посещать бассейн, и в какую дату пользователь таких услуг может прекратить таковое посещение по собственной инициативе. Между тем действием самого субъекта ПДн по представлению письменного отзыва ранее данного им согласия его права не нарушаются.

По мнению суда, пропуск с фотографией, характеризующей физиологические и биологические особенности человека (относящейся к биометрическим персональным данным), позволяет установить, принадлежит ли данному лицу предъявляемый пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества. То есть, эти данные используются оператором для установления личности субъекта ПДн в случае сомнения в том, что пропуск предъявляется его действительным владельцем, а потому он используется оператором для установления личности субъекта ПДн и данная обработка должна осуществляться в строгом соответствии со статьей 11 Закона № 152-ФЗ.

Заявитель не отрицает, что не получал от посетителей письменное согласие на обработку фотографий.

По правилам посещения граждане приносят фотографии, которые остаются у заявителя для оформления пропуска (наклейки фотографии, заполнения персональных данных), затем готовый пропуск с фотографией выдается гражданину и каждый раз предъявляется при посещении бассейна.

Ссылка суда первой инстанции на недоказанность обработки Предприятием фотографий клиентов несостоятельна, поскольку оно не отрицало исполнение правил посещения бассейна в части оформления и применения пропусков с фотографиями, настаивая в суде на необязательности получения письменного согласия посетителя при использовании фотографии на бумажном пропуске. По мнению суда, обработка персональных данных в смысле Закона № 152-ФЗ в данной ситуации имелась, а форма выпуска пропуска (на бумаге) соблюдения рассмотренной обязанности не отменяет.

Тринадцатый арбитражный апелляционный суд отменил решение Арбитражного суда Мурманской области в части признания недействительным предписания по нарушению обработки биометрических ПДн (фотографии) без письменного согласия субъекта ПДн.

Арбитражный суд Северо-Западного округа в ноябре 2017 года оставил без изменения постановление Тринадцатого арбитражного апелляционного суда, а кассационную жалобу «Учебно-спортивного центра» Комитета по физической культуре и спорту Мурманской области - без удовлетворения.

Верховный Суд Российской Федерации в марте 2018 года отказал «Учебно-спортивному центру в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ.

Мой комментарий: С моей точки зрения, законодателям и органам государственной власти стоит серьезно подумать над тем, чтобы не пытаться изображать бурную деятельность по защите персональных данных там, где это не имеет никакого смысла. Требования к оформлению пропусков придуманы не вчера, и они в первую очередь связаны с обеспечение безопасности, в том числе и тех граждан, которые посещают этот бассейн. Для организаций такая, с моей точки зрения, псевдозабота о защите наших с Вами персональных данных приводит только к немалым бессмысленным дополнительным затратам.

Я бы отметила также следующее:
  • Ни одному из судов и в голову не пришло, что если гражданин прекращает посещать бассейн, то (с определенным запаздыванием, связанным с исполнением требований иного законодательства), исчезают законные основания для дальнейшей обработки ПДн (как биометрических, так и всех остальных), и они должны быть уничтожены в 30-дневный срок. Никаких заявлений об отзыве согласия для этого не нужно!

  • Вообще «биометрические персональные данные» - это специфически российское «изобретение», отсутствующее в Евродирективе, с которой был списан наш Закон о персональных данных. Нужно ли его сохранять? Пока что видно, что проблемы из-за этой концепции возникают, а вот явной пользы что-то не видно …
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

Комментариев нет:

Отправить комментарий