Проведение проверок соблюдения требований законодательства о защите персональных данных идут повсеместно, в том числе и в государственных органах. Споры, которые при этом возникают уже между государственными органами, как мне кажется, представляют особый интерес, - прежде всего, потому, что государственные органы в процессе своей деловой деятельности осуществляют обработку значительных объемов персональных данных всего населения страны.
В данном случае претензии Управления Роскомнадзора по Астраханской области были предъявлены инспекции Федеральной налоговой службы (ИФНС) по Ленинскому району города Астрахани. С их правомочностью пришлось разбираться Арбитражному суду Астраханской области в июне 2011 года (дело №А06-1975/2011).
Суть спора
Управлением Роскомнадзора по Астраханской области в январе 2011 года была проведена плановая проверка юридического лица – ИФНС по Ленинскому району города Астрахани. В ходе проверки представители Роскомнадзора выявили следующие нарушения:
- Представленное инспекцией в Роскомнадзор уведомление об обработке персональных данных содержит неполные сведения; инспекция не сообщила об изменении содержащихся в уведомлении сведений;
- Инспекция осуществляла хранение специальной категории персональных данных налогоплательщиков без их письменного согласия;
- Велась обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- Инспекцией как оператором не были приняты организационные меры для защиты персональных данных от неправомерного или случайного доступа к ним и иных неправомерных действий.
Позиция Арбитражного суда Астраханской области
Арбитражный суд Астраханской области счел, что требования налоговой инспекции должны быть удовлетворены частично.
Суд, прежде всего, изучил уведомление об обработке персональных данных, которое налоговый орган в октябре 2008 года направил в Управление Роскомнадзора. В качестве цели обработки персональных данных в нем было названо осуществление полномочий, определенных пунктом 5 раздела II «Положения о Федеральной налоговой службе», и обрабатываемые персональные данные были отнесены к категориям 2, 3 и 4.
Для справки: В соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»:По мнению Роскомнадзора, инспекция как оператор персональных данных должна была заполнить уведомление в соответствии с утвержденными рекомендациями. В ходе проверки выяснилось, что уведомление инспекции содержит неполный объём сведений, предусмотренных частью 3 статьи 22 Закона № 152-ФЗ «О персональных данных». В частности, не указанны:
- Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
- Категория 4 - обезличенные и (или) общедоступные персональные данные.
- Учредительные документы оператора, а также цели фактически осуществляемой оператором деятельности по обработке персональных данных;
- Статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных;
- Все категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются.
Судом был отклонен довод инспекции о том, что форма свидетельства о рождении утверждена постановлением Правительства РФ № 709 от 06.07.1998 года и что данные документы предоставляются налогоплательщиками не по требованию налогового органа, а самостоятельно,- поскольку в соответствии с требованиями части 4 статьи 9 закона № 152-ФЗ согласие на обработку подобных персональных данных должно быть дано в письменном виде.
Суд счел, что направление в адрес инспекции предписания об устранении данного нарушения является правомерным. В то же время направление в адрес инспекции двух других двух (касающихся обработки избыточного объема персональных данных и непринятия организационным мер по защите персональных данных) суд счел незаконным.
Обработка персональных данных инспекцией осуществляется в автоматизированной информационной системе налоговых органов в смешанном режиме. Технологические процессы работы сотрудников обеспечивают выполнение действий, связанных с формированием и ведением баз данных информационных ресурсов и обеспечением их сохранности. Обеспечение безопасности персональных данных осуществляется организационно-техническими мерами в соответствии с требованиями законодательства Российской Федерации, руководящих документов Гостехкомиссии России, ФСБ России, ведомственными нормативными и методическими документами по информационной безопасности. Комплекс организационно-технических мер по обеспечению безопасности персональных данных согласуется с ФСТЭК России.
По мнению суда, использованные инспекцией организационные меры по защите информации, включая персональные данные, от неправомерного или случайного доступа к ним, направлены на обеспечение сохранности информации как при обработке данных с использованием средств автоматизации, так и без использования средств автоматизации, поскольку применяемая информационная система налоговых органов действует в смешанном режиме.
Доступ сотрудников налогового органа к персональным данным осуществляется в рамках установленной ведомственными нормативными документами системы разграничения доступа, в строгом соответствии с должностными обязанностями сотрудников, определяемых их должностными регламентами; обеспечена организация работы архива в соответствии с законодательством и методическими рекомендациями учреждений Федеральной архивной службы России.
Таким образом, по мнению суда, вывод проверяющих о непринятии оператором организационных мер для защиты персональных данных является необоснованным и не подтверждается материалами проверки.
Судом был также отклонен вывод Управления Роскомнадзора об обработке избыточных персональных данных по отношению к указанным целям обработки (имелись в виду данные о месте рождения, сведения о трудовой деятельности и о заключении брака).
Одной из составляющих частей контроля за соблюдением законодательства о налогах и сборах является проверка правомерности применения налоговых вычетов, в том числе социального налогового вычета по налогу на доходы физических лиц. Право на получение налогового вычета (ст.219 Налогового Кодекса), имеют, в частности, налогоплательщики, осуществлявшие ранее обязанности опекуна или попечителя, в случаях оплаты ими обучения своих бывших подопечных по очной форме до достижения ими 24 лет; а также налогоплательщики, оплачивающие обучение брата (сестры); услуги по лечению в медицинских учреждениях РФ супруга (супруги), своих родителей и (или) своих детей в возрасте до 18 лет.
Для подтверждения права на получение данного вычета налогоплательщик обязан представить документы, подтверждающие факт обучения, форму обучения, наличие опеки, попечения либо родственных отношений, факт получения лечения. При этом налоговое законодательство не определяет полного и исчерпывающего перечня документов, представляемых налогоплательщиком для подтверждения права на вычет. Налогоплательщик самостоятельно предоставляет любые документы, содержащие соответствующие сведения, в том числе относящиеся к персональным данным.
Суд признал незаконными два предписания, выданные Управлением Роскомнадзора по Астраханской области. В остальной части заявленных требований было отказано.
Двенадцатый арбитражный апелляционный суд в сентябре 2011 года оставил решение арбитражного суда Астраханской области без изменения, а апелляционную жалобу без удовлетворения.
В кассационной инстанции дело не рассматривалось.
Мой комментарий: Таким образом, в деле рассматривались два ключевых вопроса:
- Содержание направленного в Роскомнадзор уведомления об обработке персональных данных и его соответствие фактически выполняемой обработке персональных данных;
- Обработка специальных персональных данных в отсутствие письменного согласия субъекта персональных данных.
Что же касается специальных категорий персональных данных, содержащихся в официальных документах, то, как мне кажется, требовать получения письменного согласия в таких случаях - дело абсурдное. Было бы желательно, чтобы Роскомнадзор дал официальные разъяснения по данному вопросу.
Вообще говоря, пора уже начать наказывать руководство Роскомнадзора и его Управлений за то, что оно увлекается сбором штрафов по формальным признакам и не предпринимает усилий для того, чтобы не допускать применения законодательства о персональных данных в ущерб интересам государства, граждан и организаций. Роскомнадзор не должен быть бездумным исполнителем буквы закона; ему следует по собственной инициативе своевременно ставить соответствующие вопросы перед Правительством и законодателями и инициировать, при необходимости, внесение изменений в законодательство.
Источник: сайт Высшего Арбитражного Суда Российской Федерации
http://www.arbitr.ru/
"Федеральная налоговая служба работает по единым принципам, и вполне можно было бы обойтись одним уведомлением, составленное с привлечением квалифицированных юристов."
ОтветитьУдалитьЭто Вы маху дали :)
Каждая инспекция/управление ФНС России - это самостоятельное юридическое лицо, поэтому никакого одного уведомления не может быть на всю страну.
"В качестве альтернативы, ФНС следовало подготовить для территориальных инспекций типовой текст такого уведомления."
Возможно данные в уведомлении устарели.
Вы писали: Это Вы маху дали :) Каждая инспекция/управление ФНС России - это самостоятельное юридическое лицо, поэтому никакого одного уведомления не может быть на всю страну.
ОтветитьУдалитьНу почему же "не может быть"? Как Вы считаете, если Президент или премьер-министр утром распорядится ввести единые уведомления для территориальных подразделений федеральных ведомств, их согласуют и введут только к вечеру, или успеют это сделать уже днём? :)
Смысл реестра операторов ПДн не в том, чтобы ещё раз продублировать ЕГРЮЛ и ЕГРИП. В него, если действовать по уму, следует включать лишь тех операторов, кто обрабатывает иные ПДн помимо тех, обработка которых уже предусмотрена законодательством. И задумывалось создание подобных реестров в тех странах, у которых мы списали законодательство о ПДн, не для пополнения казны за счет штрафов, а для того, чтобы граждане могли выявить базы данных, в которые потенциально могли попасть их ПДн, и послать операторам соответствующие запросы!
"Ну почему же "не может быть"? Как Вы считаете..."
ОтветитьУдалитьОдно уведомление на всю страну или однотипное уведомление от каждой организации? Если одно на страну, то так много чего можно еще нафантазировать ))
В некоторых госорганах, кстати, делали типовые уведомления для своих подразделений, но все равно у некоторых бывает своя специфика, сложно все учесть наверху.
Вы писали: Если одно на страну, то так много чего можно еще нафантазировать ))
ОтветитьУдалитьФантазировать я не предлагаю. Я предлагаю подготовить типовые уведомления для школ, детских садов, поликлиник и т.д. Они, при желании, могли бы их доработать. Хуже чем сейчас эти уведомления точно не будут!
Напомню, что у нас много лет успешно использовались типовые документы, например, Типовая инструкция по делопроизводству
Кстати, Президент, также считает разработку таких модельных документов отнюдь не фантазией :))
Из выступления В.В.Путина на заседании Совета по развитию местного самоуправления. Обсуждались вопросы совершенствования правового регулирования контрольно-надзорной деятельности в отношении органов местного самоуправления 31 января 2012 года, http://news.kremlin.ru/news/17397
"Ещё одна тема – это качество муниципальных правовых актов. Органы прокуратуры справедливо отмечают, что в ряде случаев оно оставляет желать лучшего, это качество, особенно это актуально для небольших муниципалитетов, в первую очередь сельских поселений. Однако приоритетом здесь должна стать не столько механическая фиксация имеющихся недостатков, а разъяснительная работа. Одними санкциями и постоянным одёргиванием муниципалитетов дела не поправишь.
Министерство юстиции Российской Федерации при поддержке Минрегиона России разместило на своём официальном сайте типовые проекты муниципальных актов в области противодействия коррупции. Практика подготовки модельных актов для органов местного самоуправления уже положительно зарекомендовала себя и в регионах, имею в виду Республику Коми, практику, применяемую в Красноярском крае, в Ульяновской области."