суббота, 11 июля 2015 г.

Арбитражная практика: Итоги проверки Роскомнадзором соблюдения избирательной комиссией обязательных требований к обработке персональных данных


В октябре 2012 года арбитражный суд Новгородской области рассмотрел дело № А44-5910/2012, в котором оценил правомочность претензий Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Новгородской области к территориальной избирательной комиссии Великого Новгорода по соблюдению обязательных требований по обработке персональных данных.

Четырнадцатый арбитражный апелляционный суд подробно рассмотрел все претензии Роскомнадзора и по каждому из 8 пунктов проверки вынес свое мотивированное решение.

Суть спора

Управлением Роскомнадзора по Новгородской области в апреле 2012 года была проведена плановая выездная проверка территориальной избирательной комиссии Великого Новгорода соблюдения обязательных требований в сфере обработки персональных данных.

По ее результатам в действиях избирательной комиссии были выявлены нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и было выдано предписание об их устранении.

Избирательная комиссия не согласилось с вынесенным предписанием и оспорила его в судебном порядке.

Позиция Арбитражного суда Новгородской области

Суд первой инстанции признал, что плановая проверка в отношении комиссии была проведена Управлением Роскомнадзора без согласования и опубликования на официальном сайте Генеральной прокуратуры РФ плана проведения ежегодных плановых проверок на 2012 год и сведений о предстоящей плановой проверке в отношении комиссии.

Арбитражный суд удовлетворил требование избирательной комиссии о признании незаконным предписания и обязал Управление Роскомнадзора по Новгородской области устранить допущенное нарушение прав и законных интересов избирательной комиссии путем отмены предписания.

Позиция Четырнадцатого арбитражного апелляционного суда


В ходе проведения мероприятия государственного контроля были выявлены следующие нарушения обязательных требований:

1. Несоответствие содержания письменного согласия субъекта ПДн на обработку персональных данных требованиям законодательства РФ.

В бланках согласия гражданина на обработку персональных данных отсутствовали:
  • Адреса оператора, получающего согласие субъекта персональных данных;

  • Перечень действий с персональными данными, на совершение которых дается согласие, общего описания используемых оператором способов обработки персональных данных;

  • Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва.
Суд отметил, что используемые участковыми избирательными комиссиями бланки других документов, характер информации в которых предполагает или допускает включение в них ПДн, также не соответствуют требованиям подпункта «а» пункта 7 Постановления № 687.
Для справки: согласно подпункту «а» пункта 7 Постановления № 687, при использовании типовых форм документов должны соблюдаться следующие условия: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.
На этом основании суд признал обоснованными требования привести типовые формы документов, разработанных и используемых ТИК Великого Новгорода, в соответствие с требованиями постановления суда.

2. Отсутствие в тексте договора об оказании услуг по организации и осуществлению ведения бухгалтерского учета с бухгалтером избирательной комиссии существенных условий по обеспечению конфиденциальности и безопасности ПДн при их обработке:
  • Перечня действий с ПДн, которые будут совершаться;

  • Требований к защите обрабатываемых ПДн.
По мнению суда, договор заключен избирательной комиссии с нарушением требований законодательства, поэтому предписание об устранении данного нарушения является обоснованным.

3. Отсутствие лица, ответственного за организацию обработки персональных данных.

Избирательная комиссия ссылается на то, что такое лицо определено распоряжением в декабре 2009 года. Однако из буквального текста распоряжения следует, что секретарь комиссии отвечает лишь за сбор и хранение данных, но не за их обработку.

Суд отметил, что предписание Роскомнадзора по Новгородской области об устранении указанного нарушения является обоснованным и на момент судебного разбирательства уже было устранено.

4. Необеспечение оператором доступа к постановлению администрации Великого Новгорода об утверждении «Порядка обработки персональных данных структурными подразделениями администрации Великого Новгорода», утвержденному в 2009 году, определяющее политику в отношении обработки персональных данных, которым руководствуется избирательная комиссия. Соответствующая информация отсутствует на информационных стендах избирательной комиссии и на официальном сайте для ознакомления заинтересованных лиц.

Суд отметил, что поскольку обязанность обеспечить неограниченный доступ к соответствующему документу возложена на оператора, которым является избирательная комиссия, ссылка заявителя на невыполнение данной обязанности администрацией Великого Новгорода не принимается.

По мнению суда, требования избирательной комиссии о признании их незаконными удовлетворению не подлежит.

Помимо этого, управлением выявлены иные нарушения, претензии по которым к избирательной комиссии судом апелляционной инстанции были признаны незаконными:

5. Отсутствие у оператора мест хранения персональных данных/материальных носителей, перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

6. Осуществление деятельности по обработке ПДн без уведомления уполномоченного органа;

ТИК фактически обрабатывает персональные данные:
  • Физических лиц, состоящих в гражданско-правовых отношениях (например, бухгалтер);

  • Членов ТИК с правом решающего голоса в количестве 13 человек, включая 1 работник ТИК;

  • Членов участковых избирательных комиссий и кандидатов в члены участковых избирательных комиссий;

  • Граждан, включенных/не включенных в списки избирателей (избиратели).
Роскомнадзор по Новгородской области не оспаривал, что осуществление обработки ПДн избирателей подпадет под исключающий случай статьи 22 Закона № 152-ФЗ. Однако обработка ПДн всех остальных категорий субъектов ПДн требует подачи уведомления, поскольку осуществляется их автоматизированная обработка.
Для справки: Пунктом 7 Части 2 статьи 22 закона № 152-ФЗ установлено, что оператор вправе осуществлять без уведомления обработку персональных данных: включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
Суд апелляционной инстанции отметил, что осуществление обработки ПДн физических лиц, состоящих в гражданско-правовых отношениях, членов ТИК с правом решающего голоса, членов и кандидатов в члены участковых избирательных комиссий, подпадает под исключения, установленные пунктом 8 части 2 статьи 22 Закона № 152-ФЗ, поскольку отсутствую доказательства того, что ПДн вышеперечисленных субъектов проходят автоматизированную обработку и являются общеизвестными.
Для справки: Пунктом 8 Части 2 статьи 22 Закона № 152-ФЗ установлено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн.
Суд отметил, что перечень мер, установленный Постановлением № 211, носит общий характер для всех операторов ПДн, а предписания в адрес конкретного юридического лица должны носить конкретный характер, отражать содержание нарушения исходя из тех обстоятельств, которые установлены по результатам проверки. Пункт оспариваемого предписания конкретных требований не содержит, в связи с чем его нельзя признать исполнимым.

Четырнадцатый арбитражный апелляционный суд отменил решение Арбитражного суда Новгородской области в части признания незаконным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Новгородской области по пунктам 1, 3, 4, 6, 7. В остальной части решение Арбитражного суда Новгородской области было оставлено без изменения.

Федеральный арбитражный суд Северо-Западного округа в апреле 2013 года оставил без изменения постановление Четырнадцатого арбитражного апелляционного суда, а кассационную жалобу Территориальной избирательной комиссии Великого Новгорода - без удовлетворения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

Комментариев нет:

Отправить комментарий