Действующая редакция
Постановление Арбитражного суда Московского округа от 15.01.2018 №№ Ф05-18981/2017, А40-81171/2017
Дело А40-81171/2017
АРБИТРАЖНЫЙ СУД МОСКОВСКОГО ОКРУГА
ПОСТАНОВЛЕНИЕ
от 15 января 2018 года № Ф05-18981/2017
Резолютивная часть постановления объявлена 10 января 2018 года
Полный текст постановления изготовлен 15 января 2018 года
Арбитражный суд Московского округа
в составе:
председательствующего-судьи Ананьиной Е.А.,
судей Кузнецова В.В., Шевченко Е.Е.,
при участии в заседании:
от истца (заявителя) ˂Наименование организации˃: ˂ФИО˃ (дов. от 01.09.2017 г.), ˂ФИО˃ (дов. от 19.06.2017 г.);
от ответчика (заинтересованного лица) Управления Роскомнадзора по ЦФО: ˂ФИО˃ (дов. № 2 от 19.01.2018 г.), ˂ФИО˃ (дов. № 1 от 09.01.2018 г.);
рассмотрев 10 января 2018 г. в судебном заседании кассационную жалобу ˂Наименование организации˃
на решение Арбитражного суда города Москвы от 09 августа 2017 г.,
принятое судьей Кузиным М.М., на постановление Девятого арбитражного апелляционного суда от 10 октября 2017 г.,
принятое судьями Румянцевым П.В., Марковой Т.Т., Лепихиным Д.Е.,
по делу № А40-81171/17-149-793
по заявлению общества с ограниченной ответственностью ˂Наименование организации˃ (ОГРН ˂Номер˃; ˂Адрес˃)
к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу (ОГРН ˂Номер˃; ˂Адрес˃)
о признании недействительным предписания,
УСТАНОВИЛ:
в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон персональных данных), на основании Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312 (зарегистрирован Министерством юстиции Российской Федерации 13 декабря 2011 г. №
22595), приказа Управления Роскомнадзора по Центральному федеральному округу от 24 октября 2016 г. № 705-нд проведена плановая выездная проверка по соблюдению обязательных требований в области обработки персональных данных ˂Наименование организации˃ (далее - ˂Наименование организации˃, оператор, общество, заявитель).
На основании решения единственного акционера общества от 09 декабря 2011 г. наименование ˂Наименование организации˃ было изменено на ˂Наименование организации˃.
До 20 июня 2016 г. общество осуществляло свою деятельность на основании Устава ˂Наименование организации˃, утвержденного решением № 15 единственного акционера общества от 17 мая 2013 г., а с 21 июня 2016 г. оператор осуществляет свою деятельность на основании Устава ˂Наименование организации˃, утвержденного Решением единственного акционера общества от 21 июня 2016 г.
По результатам проверки обществу было выдано предписание № П-77/07/705-нд/-/1/337 от 29 ноября 2016 г., со сроком исполнения до 27 августа 2017 г., в котором указано на следующее:
- Анализ договора возмездного оказания услуг № RBS-14170-2015-HR-5 от 12 января 2015 г., заключенного с ˂Наименование организации˃, на основании которого ˂Наименование организации˃ поручило обработку персональных данных соискателей на замещение вакантных должностей, работников и их родственников, уволенных работников ˂Наименование организации˃, выявил отсутствие в указанном договоре положений, определяющих перечень действий (операций) с персональными данными, которые будут совершаться ˂Наименование организации˃, тем самым ˂Наименование организации˃ нарушены требования части 3 статьи 6 Закона о персональных данных.
- ˂Наименование организации˃ не представлено заполненное согласие соискателей на замещение вакантных должностей, подтверждающее выполнение ˂Наименование организации˃ требований части 3 статьи 6 Закона о персональных данных, в части поручения обработки персональных данных соискателей с согласия представленной ˂Наименование организации˃, не указано, что обработку персональных данных осуществляет ˂Наименование организации˃ по поручению ˂Наименование организации˃. В справочной информации ˂Наименование организации˃ не упоминается о подписании соискателем согласия на обработку персональных данных.
˂Наименование организации˃ нарушены требования части 3 статьи 6 Закона о персональных данных в части поручения обработки персональных данных соискателей ˂Наименование организации˃ без согласия соискателей на замещение вакантных должностей.
- ˂Наименование организации˃ при передаче персональных данных работников третьим лицам использует письменное согласие работника, не соответствующее требованиям части 4 статьи 9 Закона о персональных данных.
- В виду осуществления передачи персональных данных работников третьим лицам на основании письменного согласия работников не соответствующего части 4 статьи 9 Закона о персональных данных», ˂Наименование организации˃ нарушена статья 88 Трудового Кодекса Российской Федерации.
- В ходе проверки зафиксирован факт обработки персональных данных уволенных сотрудников после достижения цели обработки (увольнение, исполнение требований закона о бухгалтерском учете), уволенных свыше 5 лет на момент проверки, что подтверждается снимками экрана ИСПДн «1С: Зарплата и кадры» и «1С: Зарплата и Управление персоналом» личной карточки ˂ФИО˃, уволенной 10 февраля 2010 г. ˂Наименование организации˃ не соблюдены установленные Законом о персональных данных требования по уничтожению персональных данных уволенных сотрудников, чем нарушены требования части 4 статьи 21 Закона о персональных данных.
- ˂Наименование организации˃ не разработаны документы, регламентирующие обработку персональных данных уволенных сотрудников, тем самым оператором нарушены требования части 1 статьи 18.1 Закона о персональных данных.
- ˂Наименование организации˃ не представлены документы, подтверждающие проведение внутреннего контроля и аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, что свидетельствует о нарушении пункта 5 части 1 статьи 18.1 Закона о персональных данных.
Считая свои права нарушенными, ˂Наименование организации˃ обратилось в Арбитражный суд города Москвы с заявлением к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу (далее – Управление Роскомнадзора по ЦФО, административный орган, ответчик) о признании незаконным предписания от 29 ноября 2016 г. № П-77/07/705-нд/-/1/337 в части пунктов 2, 3, 4, 5 и 6.
Решением Арбитражного суда города Москвы от 09 августа 2017 г., оставленным без изменений постановлением Девятого арбитражного апелляционного суда от 10 октября 2017 г., в удовлетворении заявленных требований отказано.
В кассационной жалобе ˂Наименование организации˃ просит об отмене принятых по делу судебных актов, полагая, что судами неправильно применены нормы материального права, регулирующие спорные правоотношения.
Отзыв на кассационную жалобу не поступил.
В заседании суда кассационной инстанции представитель ˂Наименование организации˃ поддержал доводы кассационной жалобы. Представитель Управления Роскомнадзора по ЦФО против ее удовлетворения возражал.
Проверив материалы дела, обсудив доводы кассационной жалобы,
выслушав представителей лиц, участвующих в деле, суд кассационной инстанции не находит оснований к отмене обжалуемых судебных актов.
В соответствии с частью 1 статьи 198 Арбитражного процессуального кодекса Российской Федерации граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) органов осуществляющих публичные полномочия должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.
По смыслу приведенной нормы необходимым условием для признания ненормативного правового акта, действий (бездействия) недействительными является одновременно несоответствие оспариваемого акта, действия (бездействия) закону или иному нормативному акту и нарушение прав и законных интересов организации в сфере предпринимательской и иной экономической деятельности.
В силу части 5 статьи 200 Арбитражного процессуального кодекса Российской Федерации бремя доказывания соответствия оспариваемого ненормативного правового акта закону или иному нормативному правовому акту, законности принятия оспариваемого решения, совершения оспариваемых действий (бездействия), возлагается на орган или лицо, которые приняли акт, решение или совершили действия (бездействие).
Согласно части 2 статьи 5 Закона о персональных данных обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Из части 1 статьи 8 вышеназванного закона следует, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Частью 4 статьи 9 Закона о персональных данных установлено, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В соответствии со статьей 87 Трудового кодекса Российской Федерации
порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
В силу статьи 88 Трудового кодекса Российской Федерации при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.
Согласно части 7 статьи 5 Закона о персональных данных хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка персональных данных допускается в случае, если необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательствам Российской Федерации на оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Закона о персональных данных).
Требованиями пунктов 1 и 2 статьи 29 Федерального закона от 06
декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» и подпунктом 8 пункта 1 статьи 23 Налогового кодекса Российской Федерации установлены сроки хранения и обеспечения сохранности документов бухгалтерского и налогового учета, допускающих наличие в них персональных данных, 5 лет и 4 года соответственно.
Согласно части 4 статьи 21 Закона о персональных данных в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Частью 1 статьи 18.1 вышеназванного закона предусмотрено, что оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Отказывая в удовлетворении заявленных требований, суды пришли к выводу о том, что оспариваемое предписание в части указанных заявителем пунктов соответствует требованиям действующего законодательства и не нарушает прав и законных интересов общества.
Выводы судов основаны на следующем.
Так, из пункта 2 предписания следует, что ˂Наименование организации˃ нарушены требования части 3 статьи 6 Закона о персональных данных в части поручения обработки персональных данных соискателей ˂Наименование организации˃ без согласия соискателей на замещение вакантных должностей.
Отклоняя ссылку общества на пункт 2.8 Соглашения об оказании услуг по содействию в трудоустройств, размещенном на сайте hh.ru, суды исходили из того, что функционал сайта hh.ru форму согласия соискателя в виде электронного документа, подписываемого в соответствии с федеральным законом электронной подписью, не предусматривает, и, следовательно, указанное соглашение не соответствует требованиям части 4 статьи 9 Закона о персональных данных.
Судами также принято во внимание, что в рассматриваемом случае оператором, осуществляющим обработку персональных данных соискателей и поручившим обрабатывать их ˂Наименование организации˃, является заявитель, а не ˂Наименование организации˃, которому соискатель, размещающий резюме на сайте hh.ru, дает согласие на обработку.
Установив указанные обстоятельства, суды пришли к выводу о правомерности оспариваемого предписания в части пункта 2, поскольку общество, поручая обработку персональных данных соискателей на замещение вакантных должностей другому лицу (˂Наименование организации˃), обязано было взять у каждого такого соискателя соответствующее согласие, чего выполнено оператором не было, что является нарушением части 3 статьи 6 Закона о персональных данных.
В пункте 3 и 4 оспариваемого предписания указывается на нарушение обществом части 4 статьи 9 Закона о персональных данных и статьи 88 Трудового кодекса Российской Федерации.
Суды согласились с выводами административного органа, поскольку ˂Наименование организации˃ используется форма согласия работника, в котором работник дает согласие на обработку своих персональных данных в нескольких целях, при этом в согласии не указаны наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора (˂Наименование организации˃).
Поскольку передача персональных данных работника третьей стороне выходит за рамки трудовых отношений, регулируемых Трудовым кодексом Российской Федерации, законодательством в целях защиты персональных данных предусмотрен особый подход в организации оператором такой передачи, направленный на конкретизирование обстоятельств передачи, информированность и осознанность субъекта персональных данных, который должен понимать, кому он дает свое согласие, на что конкретно, и какие последствия могут вытекать вследствие действий, на которые он дает свое согласие.
Пунктом 5 предписания указано на нарушение обществом требований части 4 статьи 21 Закона о персональных данных, поскольку при проведении проверки выявлены факты обработки персональных данных уволенных работников свыше установленных законодательством (5 лет) сроков именно в ИСПДн, использующихся ˂Наименование организации˃, а не в архивах организаций, осуществляющих архивное хранение документов на основании законодательства Российской Федерации об архивном деле.
Принимая во внимание, что заявителем обработка персональных данных уволенных работников осуществляется после достижения цели их обработки и по истечении сроков, установленных законодательством Российской Федерации, суды сделали правомерный вывод нарушении требований части 4 статьи 21 Закона о персональных данных.
Из пункта 6 предписания следует, что ˂Наименование организации˃ не разработаны документы, регламентирующие обработку персональных данных уволенных сотрудников, что является нарушением требований части 1 статьи 18.1 Закона о персональных данных.
Суды согласились с выводами административного органа, поскольку ни один из представленных ˂Наименование организации˃ локальных актов, запрашиваемых ответчиком на основании пункта 1.8.3 Приложения № 1 к приказу Управления Роскомнадзора по ЦФО от 24 октября 2016 г. № 705-нд, определяющих условия и порядок обработки персональных данных, условия и порядок обработки персональных данных уволенных работников не содержал.
Выводы судов основаны на имеющихся в материалах дела доказательствах и соответствуют положениям действующего законодательства.
Принимая во внимание изложенное, суд кассационной инстанции полагает обоснованным вывод судов об отсутствии оснований для удовлетворения заявленных требований.
Доводы кассационной жалобы основаны на неверном толковании норм материального права, в связи с чем подлежат отклонению.
Поскольку нормы материального права, регулирующие спорные отношения, судом применены правильно, процессуальных нарушений не допущено, суд кассационной инстанции не находит оснований для отмены или изменения принятых по делу судебных актов.
При таком положении обжалуемые судебные акты следует оставить без изменения, а кассационную жалобу - без удовлетворения.
Руководствуясь статьями 176, 284-289 Арбитражного процессуального кодекса Российской Федерации, суд
ПОСТАНОВИЛ:
решение Арбитражного суда города Москвы от 09 августа 2017 г., постановление Девятого арбитражного апелляционного суда от 10 октября 2017 г. по делу № А40-81171/17-149-793 оставить без изменения, кассационную жалобу ˂Наименование организации˃ – без удовлетворения.
Председательствующий-судья Е.А. Ананьина
Судьи В.В.Кузнецов
Е.Е. Шевченко
Источник: http://kad.arbitr.ru/Card/a89fa08a-b1fe-4894-95b2-75d35dfaa4de
Поручение обработки
Соискатели
Принятие мер, предусмотренных законом
Согласие
Локальные акты оператора
Цель обработки
Обязанность оператора
категорий:
В ходе прокурорской проверки выявлен ряд нарушений
Обработка персональных данных перевозчиком
Отсутствие политики и согласий на распространение
Изготовление ксерокопии паспорта, свидетельства о регистрации ТС
Отсутствие политики на сайте при сборе персональных данных
Письменное согласие работников не соответствует требованиям законодательства
Обработка персональных данных работников без их письменного согласия
Незаконная обработка персональных данных родителей обучающихся
Нарушение оператором требований законодательства в отношении обработки персональных данных
Не принятие мер по утверждению документов, регламентирующих обработку персональных данных