Решение Арбитражного суда города Москвы от 09.08.2017 № А40-81171/2017
Дело А40-81171/2017
АРБИТРАЖНЫЙ СУД ГОРОДА МОСКВЫ
РЕШЕНИЕ
от 9 августа 2017 года № А40-81171/2017
Резолютивная часть решения объявлена 02 августа 2017 года
Полный текст решения изготовлен 09 августа 2017 года
Арбитражный суд в составе судьи Кузина М.М.
при ведении протокола секретарем судебного заседания Бабенской Е.А.
рассмотрев в открытом судебном заседании дело по заявлению /наименование организации - 1/
к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу
о признании недействительным предписания от 29.11.2016 №П-77/07/705-нд/-/1/337 в части
с участием:
от заявителя: И.С. (дов. от 14.11.2016)
от ответчика: В.А. (дов. от 10.01.2017 №1-Д), Е.А. (дов. от 10.01.2017 №3-Д)
УСТАНОВИЛ:
/наименование организации - 1/ (далее – заявитель, оператор) обратилась в Арбитражный суд г. Москвы с заявлением о признании незаконным и отмене предписания Управления Роскомнадзора по ЦФО (далее – ответчик) от 29.11.2016г. №П-77/07/705-нд/-/1/337 в части пунктов 2, 3, 4, 5 и 6.
Заявитель требование поддержал в полном объеме.
Ответчик против удовлетворения требований возражал по доводам отзыва.
Изучив материалы дела, выслушав доводы заявителя и ответчика, оценив относимость, допустимость, достоверность каждого доказательства в отдельности, а также достаточность и взаимную связь доказательств в их совокупности на основании ст.71 АПК РФ, суд установил, что требования заявителя не подлежат удовлетворению по следующим основаниям.
Судом проверено и установлено, что процессуальный срок, предусмотренный ст. 198 АПК РФ, заявителем соблюден.
В соответствии со ст. 198 АПК РФ, граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.
В соответствии с частью 4 статьи 200 Арбитражного процессуального кодекса Российской Федерации при рассмотрении дел об оспаривании ненормативных правовых актов и действий государственных органов, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта, оспариваемых действий и устанавливает их соответствие закону или иному нормативному правовому акту, а также устанавливает, нарушают ли оспариваемый акт и действия права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности.
В соответствии со ст. 13 ГК РФ, п. 6 Постановления Пленума ВС и Пленума ВАС РФ от 01.07.1996г. № 6/8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации», основанием для принятия решения суда о признании ненормативного акта недействительным, является, одновременно как несоответствие его закону или иному нормативно-правовому акту, так и нарушение указанным актом гражданских прав и охраняемых интересов граждан или юридических лиц, обратившихся в суд с соответствующим требованиям.
Таким образом, в круг обстоятельств подлежащих установлению при рассмотрении дел об оспаривании ненормативных актов, действий (бездействий) госорганов входит проверка соответствия оспариваемого акта закону или иному нормативно-правовому акту и проверка факта нарушения оспариваемым актом, действием (бездействием) прав и законных интересов заявителя.
Как следует из материалов административного дела, в соответствии с требованиями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон), на основании Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011г. № 312 (зарегистрирован Министерством юстиции Российской Федерации 13.12.2011г. № 22595), приказа Управления Роскомнадзора по Центральному федеральному округу от 24.10.2016г. № 705-нд проведена плановая выездная проверка по соблюдению обязательных требований в области обработки персональных данных /наименование организации - 1/ (далее - Оператор).
На основании решения единственного акционера Общества от 09.12.2011г. наименование /наименование организации - 2/ было изменено на /наименование организации - 1/.
До 20.06.2016г. Общество осуществляло свою деятельность на основании Устава /наименование организации - 1/, утвержденного Решением № 15 единственного акционера Общества от 17.05.2013г. С 21.06.2016г. Оператор осуществляет свою деятельность на основании Устава /наименование организации - 1/, утвержденного Решением единственного акционера Общества от 21.06.2016г.
По результатам проверки выдано предписание №П-77/07/705-нд/-/1/337 от 29.11.2016г., согласно которому /наименование организации - 1/ допустило 7 нарушений Федерального законаот 27.07.2006г. №152-ФЗ "О персональных данных", а именно:
- Анализ договора возмездного оказания услуг № RBS-14170-2015-HR-5 от 12.01.2015, заключенного с /наименование организации - 3/, на основании которого /наименование организации - 1/ поручило обработку персональных данных соискателей на замещение вакантных должностей, работников и их родственников, уволенных работников /наименование организации - 3/, выявил отсутствие в указанном договоре положений, определяющих перечень действий (операций) с персональными данными, которые будут совершаться /наименование организации - 3/, тем самым /наименование организации - 1/ нарушены требования ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- /наименование организации - 1/ не представлено заполненное согласие соискателей на замещение вакантных должностей, подтверждающее выполнение /наименование организации - 1/ требований ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в части поручения обработки персональных данных соискателей с согласия представленной /наименование организации - 1/, не указано, что обработку персональных данных осуществляет /наименование организации - 3/ по поручению /наименование организации - 1/. В справочной информации /наименование организации - 1/ не упоминается о подписании соискателем согласия на обработку персональных данных.
/наименование организации - 1/ нарушены требования ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в части поручения обработки персональных данных соискателей /наименование организации - 3/ без согласия соискателей на замещение вакантных должностей.
- /наименование организации - 1/ при передаче персональных данных работников третьим лицам использует письменное согласие работника, не соответствующее требованиям ч. 4. ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- В виду осуществления передачи персональных данных работников третьим лицам на основании письменного согласия работников, несоответствующего ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», /наименование организации - 1/ нарушена ст. 88 Трудового Кодекса РФ.
- В ходе проверки зафиксирован факт обработки персональных данных уволенных сотрудников после достижения цели обработки (увольнение, исполнение требований закона о бухгалтерском учете), уволенных свыше 5 лет на момент проверки, что подтверждается снимками экрана ИСПДн «1С: Зарплата и кадры» и «1С: Зарплата и Управление персоналом» личной карточки <ФИО>, уволенной 10.02.2010.
/наименование организации - 1/ не соблюдены установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»требования по уничтожению персональных данных уволенных сотрудников, чем нарушены требования ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- /наименование организации - 1/ не разработаны документы регламентирующие обработку персональных данных уволенных сотрудников, тем самым Оператором нарушены требования ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- /наименование организации - 1/ не представлены документы, подтверждающие проведение внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, что свидетельствует о нарушении п. 5 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Согласно предписанию, /наименование организации - 1/ обязано в срок до 27.08.2017г. устранить выявленные нарушения.
Не согласившись с вынесенным предписанием в части пунктов 2-6, заявитель обратился в Арбитражный суд г. Москвы с настоящим заявлением.
Отказывая в удовлетворении заявленных требований, суд исходит из следующего.
Оспаривая п. 2 Предписания заявитель указывает, что получение согласия соискателей на замещение вакантных должностей (далее — Соискатели) при поручении обрабатывать персональные данные /наименование организации - 3/ не требуется в связи с тем, что субъекты персональных данных (соискатели), размещая свое резюме в сети Интернет на сайте hh.ru, дали письменное согласие на включение своих персональных данных в общедоступные источники.
Довод заявителя основан на неправильном применении норм материального права и толкования положений Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее — Закон).
В соответствии с ч. 2 ст. 5 Закона обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
В соответствии с ч. 1 ст. 8 Закона в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
В соответствии с ч. 4 ст. 9 Закона в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Субъект персональных данных, желающий разместить свое резюме на сайте hh.ru, в обязательном порядке принимает условия Соглашения об оказании услуг по содействию в трудоустройстве (акцепт), размещенном в сети Интернет по адресу: https://hh.ru/account/agreement, заключаемом с Обществом с ограниченной ответственностью «Хэдхантер» (ИНН 7718620740, ОГРН 1067761906805).
В соответствии с п. 2.3 Соглашения об оказании услуг по содействию в трудоустройстве цель обработки персональных данных Соискателя включает в себя следующее:
Идентификация Соискателя как стороны по настоящему Соглашению и персонализация предоставляемых сервисов и услуг Сайта;
Трудоустройство у потенциальных работодателей, а также проведение предварительного собеседования в целях трудоустройства у потенциальных работодателей;
2.3.3. Направление уведомлений, запросов и информации, касающихся использования сервисов и услуг Сайта, контактирование иным способом для исполнения настоящего Соглашения, обработка запросов и обращений от Соискателя;
2.3.4. Улучшение качества сервисов и услуг Сайта, удобства их использования, разработка новых сервисов Сайта;
2.3.5. Таргетирование рекламных материалов;
2.3.6. Направление любых информационных сообщений, включая рекламу;
2.3.7. Проведение статистических и иных исследований.
Функционал сайта hh.ru форму согласия соискателя в виде электронного документа, подписываемого в соответствии с федеральным законом электронной подписью, не предусматривает, в связи с чем Соглашение об оказании услуг по содействию в трудоустройстве не соответствует требованиям ч. 4 ст. 9 Закона.
Условия Соглашения об оказании услуг по содействию в трудоустройстве согласия соискателей на включение их персональных данных в общедоступные источники персональных данных с целью информационного обеспечения не предусматривают.
При этом в рассматриваемом случае оператором, осуществляющим обработку персональных данных соискателей и поручившим обрабатывать их /наименование организации - 3/, является заявитель, а не ООО «Хэдхантер», которому соискатель, размещающий резюме на сайте hh.ru, дает согласие на обработку.
На основании вышеизложенного, /наименование организации - 1/, поручая обработку персональных данных соискателей на замещение вакантных должностей другому лицу (/наименование организации - 3/), в соответствии с требованиями ч. 3 ст. 6 Закона обязан, взять у каждого такого соискателя соответствующее согласие, чего выполнено оператором не было.
Оспаривая п.п. 3, 4 Предписания заявитель утверждает, что при передаче персональных данных своих работников правомерно использует форму согласия работников, соответствующую требованиям ч. 4 ст. 9 Закона.
Довод заявителя основан на неправильном понимании и толковании положений Закона в связи со следующим.
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.
Поскольку передача персональных данных работника третьей стороне выходит за рамки трудовых отношений, регулируемых ТК РФ, законодательством в целях защиты персональных данных предусмотрен особый подход в организации оператором такой передачи, направленный на конкретизирование обстоятельств передачи, информированность и осознанность субъекта персональных данных, который должен понимать, кому он дает свое согласие, на что конкретно, и какие последствия могут вытекать вследствие действий, на которые он дает свое согласие.
Как указано выше в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а особые требования к согласию в письменной форме содержатся в ч. 4 ст. 9 Закона.
Так, согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Таким образом, законодательством установлено особое условие, защищающее права субъекта персональных данных (работника) при передаче его персональных данных третьей стороне — а именно наличие письменного согласия работника, требования к которому указаны в ч. 4 ст. 9 Закона и направлены на соблюдение принципов конкретности и информированности.
Самим заявителем в своем заявлении приводятся положения Закона (ч.ч. 4 и 5 ст. 5, ч. 1 ст. 6), указывающие на наличие у оператора нескольких целей обработки персональных данных.
Требования же п. 4 ч. 4 ст. 9 императивно указывают на наличие только одной цели (в единственном числе) обработки персональных данных.
В рассматриваемом же случае /наименование организации - 1/ используется форма согласия работника, в котором работник дает согласие на обработку своих персональных данных в нескольких целях (что заявителем не оспаривается и прямо указывается в заявлении), при этом в согласии не указаны наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора (/наименование организации - 3/), что также не соответствует требованиям п. 6 ч. 4 ст. 9 Закона.
Таким образом, /наименование организации - 1/ при передаче персональных данных своих работников третьей стороне (/наименование организации - 3/) использует форму согласия, не соответствующую требованиям ч. 4 ст. 9 Закона, чем нарушаются требования ст. 88 ТК РФ.
В соответствии с ч. 1 ст. 4 Закона законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Законодательством с целью защиты персональных данных работников на работодателя возложены особые требования, предусмотренные специальной нормой -
главой 14 Трудового Кодекса Российской Федерации.
В соответствии с ч.ч. 1 и 1.1 Закона уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации.
В соответствии с п. 5 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Минкомсвязи России от 14.11.2011 № 312 (далее —
Административный регламент), предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных являются:
- документы, характер информации в которых предполагает или допускает включение в них персональных данных;
- информационные системы персональных данных;
- деятельность по обработке персональных данных.
Таким образом, при осуществлении государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных законодательством полномочия Роскомнадзора на предмет проверки соответствия деятельности оператора требованиям только Закона не ограничены, поскольку законодательство Российской Федерации в области персональных данных состоит не только из Закона, но и других определяющих случаи и особенности обработки персональных данных федеральных законов, в частности Трудового Кодекса российской Федерации (гл. 14).
Ссылка /наименование организации - 1/ на требования Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» неправомерна, так как в соответствии с частью 3.1 статьи 1 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» положения настоящего Федерального закона не применяются при осуществлении контроля и надзора за обработкой персональных данных.
Таким образом, довод заявителя о том, что Управление при проведении проверки вышло за пределы полномочий уполномоченного органа по защите прав субъектов персональных данных, основан на неправильном применении и толковании норм материального права и является несостоятельным.
Оспаривая п. 5 Предписания заявитель указывает, что наличия согласия уволенных работников, которые были уволены по истечении более пяти лет с момента проведения проверки, на обработку их персональных данных в информационных системах персональных данных (далее — ИСПДн) «1С: Зарплата и Кадры» и «1С: Зарплата и Управление персоналом», Оператору не требуется, так как /наименование организации - 1/ обрабатывает эти персональные данные на основании п. 2 ч. 1 ст. 6 Закона, ссылаясь на выполнение требований п.п. 1 и 2 ст. 29 Федерального закона от 06.12.2011г. № 402-ФЗ «О бухгалтерском учете» и пп. 8 п. 1 ст. 23 НК РФ.
Вместе с тем, довод /наименование организации - 1/ основан на неправильном применении норм материального права, понимании требований законодательства в области персональных данных и его неправильном применении и толковании в связи со следующим.
В соответствии с ч. 7 ст. 5 Закона хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В соответствии с п. 2 ч. 1 ст. 6 Закона обработка персональных данных допускается в случае, если необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательствам Российской Федерации на оператора функций, полномочий и обязанностей.
Требованиями п.п. 1 и 2 ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» и пп. 8 п. 1 ст. 23 НК РФ установлены сроки хранения и обеспечения сохранности документов бухгалтерского и налогового учета, допускающих наличие в них персональных данных, 5 лет и 4 года соответственно.
Иных требований хранить персональные данные уволенных работников применимо к деятельности /наименование организации - 1/ законодательством Российской Федерации не предусмотрено.
В ходе проверки были выявлены факты обработки персональных данных уволенных работников свыше установленных законодательством (5 лет) сроков именно в ИСПДн, использующихся /наименование организации - 1/, а не в архивах организаций, осуществляющих архивное хранение документов на основании законодательства Российской Федерации об архивном деле.
В соответствии с ч. 4 ст. 21 Закона в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Поскольку заявителем обработка персональных данных уволенных работников осуществляется после достижения цели их обработки и по истечении сроков, установленных законодательством Российской Федерации, /наименование организации - 1/ не соблюдаются установленные Законом принципы обработки персональных данных, как следствие нарушаются требования ч. 4 ст. 21 Закона.
Оспаривая п. 6 Предписания заявитель указывает, что Управление в ходе проверки не запрашивало у /наименование организации - 1/ документов, регламентирующих обработку персональных данных уволенных сотрудников.
Вместе с тем, в соответствии с п. 1.8.3 Приложения № 1 к приказу Управления от 24.10.2016 № 705-нд с целью проверки соблюдения проверяемым юридическим лицом (далее -Оператор) требований законодательства в области персональных данных (далее - ПДн) необходимо, чтобы Оператор представил следующие документы или заверенные копии документов в пронумерованном порядке, полностью совпадающим с нумерацией соответствующего пункта Перечня:
Все изданные Оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн (в случае издания общего документа указать соответствующий пункт, раздел и т.п.):
- Цели обработки ПДн;
- Правое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);
- Категории субъектов ПДн, чьи ПДн обрабатываются;
- Категории ПДн по каждой категории субъектов ПДн соответственно;
- Описание порядка, способов и методов обезличивания ПДн, для каких целей осуществляется обезличивание ПДн, в отношении каких субъектов ПДн и категорий ПДн осуществляется обезличивание;
- Срок обработки ПДн субъектов ПДн (в электронной форме, на материальных носителях);
- Срок хранения ПДн субъектов ПДн (в электронной форме, на материальных носителях);
- Условия уничтожения ПДн субъектов ПДн и порядок его осуществления (в электронной форме, на материальных носителях), копии актов об уничтожении ПДн;
- Перечень лиц, имеющих доступ и непосредственно допущенных к работе с ПДн субъектов ПДн (в электронной форме, на материальных носителях).
Ни один из представленных /наименование организации - 1/ локальных актов, определяющих условия и порядок обработки персональных данных, условия и порядок обработки персональных данных уволенных работников не содержал.
Запрашиваемых согласно приказа Управления от 24.10.2016г. № 705-нд о проведении проверки действующих локальных актов, регламентирующих обработку оператором персональных данных уволенных работников, /наименование организации - 1/ Управлению в ходе проведения проверки представлено не было, в связи с чем Управлением обоснованно сделан вывод о невыполнении заявителем требования ч. 1 ст. 18 Закона.
Заявителем как оператором, осуществляющим обработку персональных данных, обязательные требования законодательства в области персональных данных не выполняются, обработка персональных данных заявителем осуществляется с нарушениями требований законодательства Российской Федерации в области персональных данных, в связи с чем его доводы о необоснованности Предписания не состоятельны.
Требования, изложенные в предписании об устранении нарушений законодательства, отвечают основным задачам законодательства от административных правонарушениях, указанных в ст. 1.2 КоАП РФ. Организация обязана прекратить противоправное деяние, в этой связи предписанием об устранении нарушений законодательства обеспечивается защита от совершаемого правонарушения.
По своей правовой природе предписание об устранении административного правонарушения не может служить основанием для освобождения виновного лица от административной ответственности. Предписание об устранении административного правонарушения не является актом административного наказания, что полностью соответствует положениям ст.3.2 КоАП РФ.
Таким образом, административный орган, установив, что действия общества не соответствуют требованиям законодательства, правомерно в соответствии с предоставленными полномочиями вынес оспариваемое предписание.
Доводы общества, изложенные в заявлении, не свидетельствуют о незаконности выданного административным органом предписания.
Судом рассмотрены все доводы заявителя, однако, они не могут служить основанием к удовлетворению заявленных требований.
Кроме того, суд отмечает, что в соответствии со статьей 13 ГК РФ ненормативный акт государственного органа или органа местного самоуправления, а в случаях, предусмотренных законом, также нормативный акт, не соответствующие закону или иным правовым актам и нарушающие гражданские права и охраняемые законом интересы гражданина или юридического лица, могут быть признаны судом недействительными.
Пунктом 6 Постановления Пленума Верховного Суда Российской Федерации и Пленума Высшего Арбитражного Суда Российской Федерации от 01 июля 1996 года N 6/8 "О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации" разъяснено, что основанием для принятия решения суда о признании ненормативного акта, а в случаях, предусмотренных законом, также нормативного акта государственного органа или органа местного самоуправления, недействительным, являются одновременно как его несоответствие закону или иному правовому акту, так и нарушение указанным актом гражданских прав и охраняемых законом интересов гражданина или юридического лица, обратившихся в суд с соответствующим требованием.
Однако заявителем при обращении в суд не пояснил, а судом в ходе рассмотрения дела не было установлено, какие именно нарушения закона были допущены ответчиком, а также какие права и законные интересы заявителя были нарушены.
В связи с указанным суд приходит к выводу, что оспариваемое предписание соответствует действующему законодательству, не нарушает прав и законных интересов заявителя, в связи с чем заявленные требования не подлежат удовлетворению.
Судебные расходы, связанные с оплатой государственной пошлины, подлежат распределению в соответствии со ст. 110 АПК РФ.
На основании изложенного и руководствуясь ст.ст.65, 167-170, 176, 181, 200, 201 АПК РФ, суд
РЕШИЛ:
В удовлетворении требований /наименование организации - 1/ - отказать.
Решение может быть обжаловано в течение месяца с даты принятия в Девятый арбитражный апелляционный суд.
Судья: М.М. Кузин
Источник: http://kad.arbitr.ru/Card/a89fa08a-b1fe-4894-95b2-75d35dfaa4de
Соискатели
Принятие мер, предусмотренных законом
Согласие
Предоставление
Политика
Порядок хранения
категорий:
Обработка специальной категории персональных данных с нарушением требований законодательства
Анкета соискателя не отвечает требованиям законодательства
Незаконная обработка персональных данных родственников кандидатов на вакантные должности
Нарушения в деятельности медицинской организации
Размещение на дверях кабинетов в медицинском учреждении списка лиц,записанных на прием к врачу
Не выполнены обязанности, возложенные на оператора фз "О персональных данных"
Несоответствие формы согласия закону, нарушение порядка хранения носителей
Не предоставление в ходе проверки документов, определяющих политику
Обработка избыточных данных работников, передачи их данных без согласия
Обработка персональных данных учащихся без письменного согласия законных представителей
Оформление согласий на обработку персональных данных по иной, не установленной работодателем форме