Судебная практика: Персональные данные в СЭД

Анализ споров, связанных с защитой персональных данных, показывает, что очень часто претензии граждан по этому поводу являются вторичными и возникают там, где уже существует тот или иной конфликт, в том числе между работником и работодателем.

Судебная коллегия по гражданским делам Московского городского суда в марте 2018 года вынесла решение по делу № 33-8777, в котором бывший сотрудник Министерства юстиции РФ предъявил претензию к бывшему работодателю в связи с тем, что тот разместил в своей системе электронного документооборота его заявления и ответы на них.

Гражданин проходил службу в центральном аппарате Министерства юстиции РФ с мая 2014 года и замещал должность референта Департамента государственной службы и кадров (ДГСК). В марте 2017 года он был уволен по собственному желанию. В сентябре 2016 года, по его мнению, по результатам рассмотрения трех его заявлений и направлении ответов на них руководством ДГСК умышлено были разглашены и распространены его персональные данные в системе электронного документооборота Минюста России, о чем он сообщил первому заместителю Минюста и просил по данному факту назначить служебную проверку — однако служебная проверка назначена не была.

Поскольку ответы на его обращения были размещены в Системе электронного документа оборота Минюста РФ в открытом доступе, и в них содержится адрес его регистрации, это нарушает его права на защиту персональных данных в соответствии с положениями федерального закона № 79-ФЗ «О государственной гражданской службе Российской Федерации».

Гражданин просил суд обязать министерство назначить служебные проверки для привлечения к дисциплинарной ответственности в связи с допущенными нарушениями законодательства РФ о персональных данных в отношении гражданских служащих Минюста: ряда заместителей директора ДГСК, начальника отдела по работе с кадрами центрального аппарата Минюста России, заместителя начальника отдела по работе с кадрами центрального аппарата Минюста России.

Позиция Замоскворецкого районного суда г. Москвы

Замоскворецкий районный суд г. Москвы в октябре 2017 года рассмотрел дело № 2-3854/2017 и установил, что в период работы гражданин обращался к ответчику с различными заявлениями. Данные заявления были приняты на личном приёме в приёмной для граждан Минюста России и зарегистрированы с индексом ОГ (обращение гражданина). Соответственно, обращения рассматривались с учетом положений федерального закона от 02.05.2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

Гражданин в заявлениях не указывал ни почтовый адрес, ни адрес электронный почты. Соответственно, в целях соблюдения требований закона ответы на его обращения были направлены ему на почтовый адрес, указанный в его личном деле, поскольку он при приеме на службу давал согласие на обработку его персональных данных.

Суд отметил, что все входящие документы и подготавливаемые исходящие документы сканируются и размещаются в Системе электронного документооборота министерства, в том числе и обращения граждан.

По мнению суда, размещение ответов гражданина в Системе электронного документооборота осуществлялось правомерно, с учетом федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; а при наличии его согласия на обработку его персональных данных, а также в соответствии с Инструкцией по делопроизводству в Минюсте России, утвержденной приказом Минюста России от 30.12.2011 № 460, министерство вправе было указать в ответах адрес его регистрации.

Суд подчеркнул, что в Минюст России от гражданина поступило более 25 обращений, на некоторые из которых он отказывался получать ответы лично.

Суд отметил, что согласно статье 59 федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» служебная проверка проводится по решению представителя нанимателя. В связи с тем, что назначение служебной проверки является правом, а не обязанностью представителя нанимателя, и отказ в ее назначении гражданином не был оспорен, суд не нашел оснований для удовлетворения заявленных исковых требований.

Суд отказал в удовлетворении исковых требований гражданина к Министерству юстиции Российской Федерации о понуждении к совершению определенных действий.

Судебная коллегия по гражданским делам Московского городского суда в марте 2018 года (дело № 33-8777) оставила составе решение Замоскворецкого районного суда г. Москвы без изменения, апелляционную жалобу гражданина — без удовлетворения.

Мой комментарий: Это дело — наглядный пример того, до какого абсурда могут дойти претензии граждан по защите их персональных данных. К сожалению, ни одна организация от подобного не застрахована…

Банковское обозрение

Сфера финансовых интересов

Как вести себя оператору персональных данных и не получать штрафы

Каждый год Роскомнадзор публикует свою статистику по жалобам о неправомерном использовании персональных данных граждан. Уже не первый год банки являются лидерами данного рейтинга. В начале этого года Роскомнадзор сообщил, что на долю банков приходится 14,2 тыс. жалоб граждан и значительно меньше жалоб на других операторов персональных данных. Видимо, для банков еще долго тема использования персональных данных будет актуальна. В данной статье рассмотрены изменения в законодательстве, связанном с персональными данными, а также даны инструкции оператору по правильному поведению, которые позволят не получить штрафы

В феврале 2017 года были приняты поправки в ст. 13.11 КоАП РФ, а именно:

— изменился максимально возможный размер штрафа с 10 тыс. рублей до 75 тыс. рублей. Следует обратить внимание на то, что размер штрафа указан за одно нарушение, если при проверке Роскомнадзор найдет несколько нарушений, то юридическое лицо будет оштрафовано за каждое в отдельности;

— изменилась сама процедура привлечения к административному наказанию, теперь Ромкомнадзору не нужно обращаться в Прокуратуру, функция привлечения к наказанию передана ему.

Чтобы не получать ненужные штрафы, нужно правильно организовать в компании обработку персональных данных.

Не стоит забывать, что в случае судебного спора с организации могут быть взысканы судебные расходы и денежные средства за причиненный моральный вред.

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Выполняем обязанности оператора

Обязанности оператора можно разделить на два вида: • выполняемые при любом положении; • выполняемые при определенных обстоятельствах (либо имеются исключения).

1. Соблюдение принципов обработки персональных данных (ст. 5 Закона о персональных данных)

1. Уведомляем уполномоченный орган о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных), но есть исключения, которые перечислены в ч. 2 указанной статьи: обрабатываемые в соответствии с трудовым законодательством; полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не будут распространяться и будут использованы только в рамках заключенного договора; относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением, не распространяемые без согласия субъекта персональных данных; сделанные субъектом персональных данных общедоступными; включающие в себя только фамилии, имена и отчества субъектов персональных данных и др.

2. Обработка данных, только в случаях, прямо предусмотренных Законом

2. Предоставление доступа владельцу к его персональным данным (ст. 14 Закона о персональных данных)

3. Защита полученных персональных данных

3. По требованию владельца произвести следующие действия с персональными данными:

4. Обработка персональных данных на российских серверах

4. Оператор персональных данных обязан уведомить / получить согласие владельцев биометрических персональных данных о том, что он производит фото- или видеосъемку.
Из разъяснений Роскомнадзора становится понятным, что достаточно повесить предупреждающие таблички

5. Должно быть назначено ответственное лицо

6. Публикуем политику в отношении персональных данных

Получаем согласие на обработку персональных данных

Согласно положениям Закона о персональных данных, оператор обязан получить согласие от их владельца.

Я бы разделила субъектов персональных данных на две группы: сотрудники и все остальные.

Согласие может быть получено в виде отдельного документа либо в электронном виде, если действия происходят на сайте.

Так, Ростовским областным судом было рассмотрено дело по иску о предоставлении информации и взыскании морального вреда. Обстоятельства дела: истец получил кредитную карту в банке, далее банк сделал переуступку прав требования, новый банк направил истцу уведомление о необходимости явиться в офис банка для подписания документов, Истца смутило, что банк от него не получил согласия на обработку персональных данных, в связи с чем истец направил в банк заявление о предоставлении ему информации, связанной с его персональными данными. Банк от удовлетворения требований истца уберегло грамотно составленное согласие на обработку персональных данных, в котором было указано, что одной из целей обработки является сбор задолженности в случае передачи банком третьим лицам функций и (или) полномочий по обслуживанию кредита и сбору задолженности на основании заключаемых банком договоров с данными лицами.

Смотрите так же:  Пособие срочный трудовой договор

Работодатель не всегда обязан получать согласие своих работников на обработку персональных данных, а только в том случае, если он планирует:

• обрабатывать биометрические персональные данные;

• передать данные третьим лицам;

• запросить данные у третьих лиц;

• поручить обработку персональных данных аутсорсеру;

• передать данные в банк, чтобы оформить зарплатную карту;

• передать данные за границу;

• обрабатывать специальные категории персональных данных.

Обезличиваем персональные данные

Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

В случаях когда оператор достигает цели обработки или им потерян интерес к целям, Закон предоставляет оператору право выбора: обезличить или уничтожить персональные данные.

Чтобы обезличить персональные данные оператор выбирает один из методов, указанных в Приказе Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»:

• метод введения идентификаторов — замена части сведений (значений персональных данных) идентификаторами с созданием таблицы;

• метод изменения состава или семантики;

Обратите внимание, что данные методы установлены для государственных органов, для коммерческой организации они необязательны и в компании могут применяться другие.

Конечно, каждому оператору проще было бы просто уничтожать ненужные данные, но есть случаи, когда это невозможно, работодателям нельзя уничтожать большую часть кадровой документации, так как для нее установлен срок хранения.

Другие же операторы обезличивают персональные данные, когда в этом есть необходимость, например медицинской организации для статистики.

Уничтожаем персональные данные

Самый простой способ избавиться от ненужных персональных данных — уничтожить их.

Согласно п. 8 ст. 3 Закона о персональных данных, уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Законом установлены случаи, когда оператор обязан уничтожить персональные данные:

1. Владелец персональных данных требует уничтожить их (ч. 3 ст. 20 Закона о персональных данных). Срок уничтожения — семь рабочих дней с момента поступления требования.

Так, Нижегородским областным судом было рассмотрено дело о неправомерном использовании персональных данных по иску об уничтожении персональных данных и взысканию морального вреда. Обстоятельства дела таковы: между ответчиком и третьим лицом было заключено соглашение о предоставлении овердрафта, впоследствии у третьего лица по данному соглашению образовалась просроченная задолженность. Истец, являющийся адвокатом, в рамках оказания юридических услуг обратился со своего телефонного номера к ответчику для получения информации по задолженности, но в последующем на телефонный номер истца стали неоднократно поступать звонки по вопросу погашения задолженности. Суд удовлетворил требования ответчика в полном объеме, обязал банк уничтожить персональные данные в течение 10 дней с момента вступления решения в силу (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016).

Еще одно дело было рассмотрено Новосибирским областным судом по иску о признании кредитного договора незаключенным, уничтожении персональных данных, взыскании морального вреда и судебных расходов. Обстоятельства дела: истец пришла в магазин бытовой техники, где намеревалась купить товар в кредит, обратилась к кредитному менеджеру, предоставила все необходимые документы, менеджер внес в базу данные истца. Истец, не дождавшись ответа из банка, отказалась от заключения договора, но с того времени ей постоянно поступают звонки из банка с требованием погасить задолженность по кредиту. Суд удовлетворил требования истца, установив, что у банка не было законных оснований на обработку персональных данных истца (Апелляционное определение Новосибирского областного суда от 18.07.2017 по делу № 33-6839/2017).

2. Оператор самостоятельно обнаружил, что неправомерно обрабатывает персональные данные (ч. 3 ст. 21 Закона о персональных данных). Срок уничтожения — 10 рабочих дней с момента выявления оператором такого нарушения;

3. Достигнуты цели обработки персональных данных (ч. 4 ст. 21 Закона о персональных данных). Срок уничтожения — 30 дней с момента достижения цели;

4. Владелец персональных данных отзывает согласие на обработку его персональных данных (ч. 5 ст. 21 Закона о персональных данных). Срок уничтожения — 30 дней с момента поступления отзыва, если для целей обработки данные больше не нужно сохранять.

Исключение: если достигнуты цели обработки или владелец персональных данных отзывает их, оператор имеет право не уничтожать данные, если иное предусмотрено в заключенном сторонами договоре/соглашении либо оператором осуществляется обработка персональных данных на законных основаниях без согласия субъекта персональных данных.

Чтобы уничтожить персональные данные, нужно создать комиссию по уничтожению персональных данных и утвердить акт об уничтожении персональных данных.

В заключение хотелось бы сказать, что принцип, который позволит сэкономить на штрафах и иных расходах, прописан в ст. 6 Закона о персональных данных, а именно: обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным Федеральным законом.

Судебная практика персональные данные

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за ноябрь (DOCX, 155.41 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за октябрь (DOCX, 128.93 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за сентябрь (DOCX, 143.70 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за август (DOCX, 92.93 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за июль (DOCX, 98.74 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за июнь (DOCX, 123.73 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за май (DOCX, 136.11 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за апрель (DOCX, 134.05 Kb)

Перечень судебных споров, а также принятых по ним решений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за январь (DOCX, 54.81 Kb)

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 06.02.2018 15:04
Последнее изменение: 11.12.2018 16:09

Судебные споры по законодательству о персональных данных

В июле 2011 года вступила в силу новая редакция Федерального закона «О персональных данных» (далее – «Закон»), которая в ряде случаев коренным образом изменила подход к некоторым важным проблемам, связанным с обработкой персональных данных. Однако с момента принятия закона прошло всего несколько месяцев. Кроме того, пока не издан целый ряд подзаконных актов, предусмотренных новой редакцией Закона. В этой связи практика применения новой редакции Закона (в том числе, судебная практика) пока не сформировалась. Но даже несмотря на это 2011 год был богат на громкие инциденты с персональными данными, многие их которых дошли до суда. Это и дело rusleaks.com, и опубликование «чувствительных» данных о клиентах интернет-магазинов, и прослушивание телефонных разговоров известных политиков, и многое другое.

В этой статье речь пойдет о нескольких не столь громких, но тем не менее интересных прецедентах, связанных с исками обладателей (субъектов) персональных данных в отношении неправомерного разглашения персональных данных в Интернете. Данные решения позволяют, в первую очередь, понять подходы судов к законодательству о персональных данных, глубину их понимания и восприятия проблематики регулирования. Кроме того, в статье будет затронуто известное дело о передаче данных должников «коллекторам».

1) Администратор домена обязан обеспечивать конфиденциальность обрабатываемых на сайте персональных данных

Решение Мещанского районного суда г. Москвы от 5 октября 2010 года по делу № 2-2340/2010/Определение Московского городского суда от 14 февраля 2011 года по делу № 33-2064/Решение Мещанского районного суда г. Москвы от 10 мая 2011 года по делу № 2-3518/2011

Смотрите так же:  Проживание в отеле по купону

Истцом в деле является физическое лицо, ответчиком – администратор (физическое лицо) интернет-сайта. В соответствии с материалами дела в разделе сайта «Форум» были размещены персональные данные истца, включая фамилию, имя, дату рождения, место работы, должность, образование, домашний телефон (другими словами, резюме). При этом истец утверждает, что согласия на размещение этих данных он не давал, и просит суд обязать ответчика уничтожить данные и компенсировать ему моральный вред и судебные расходы (включая стоимость услуг нотариуса, который составил протокол осмотра сайта).

Первоначально суд первой инстанции отказал истцу в удовлетворении иска, однако это решение было отменено в кассационной инстанции (еще до введения апелляционной инстанции), и в дальнейшем при новом рассмотрении дела в новом составе требования истца были частично удовлетворены. На трех страницах решения суд практически полностью цитирует старую редакцию Закона и приходит к выводу, что администратор домена, как оператор персональных данных, обязан обеспечивать конфиденциальность собираемых и обрабатываемых им персональных данных. В этой связи суд, в частности, обязал ответчика «уничтожить персональные данные… и запретить их обработку и распространение в сети Интернет». Во взыскании компенсации морального ущерба Истцу было отказано, поскольку факт причинения Истцу нравственных страданий, с точки зрения суда, последним не был доказан.

Из этого решения суда следует три основных вывода:

  • Во-первых, если пользователи сайта имеют возможность публиковать на нем какую–либо информацию (например, в разделе «гостевая», на форумах и т. д.), то администратор домена может понести ответственность за такого рода публикации, если при этом раскрываются чьи-то персональные данные! Этот прецедент является весьма опасным для таких интернет-компаний как операторы социальных сетей и т. д. В качестве рекомендации в этой связи можно отметить необходимость размещения на сайте подробной и составленной в соответствии с требованиями Закона политики в отношении обработки и защиты персональных данных.
  • Во-вторых, по результатам рассмотрения иска о прекращении обработки персональных данных можно получить предписание, выполнить которое практически невозможно (как это произошло в данном деле). Речь идет о вышеуказанном предписании запретить обработку персональных данных и их распространение в сети Интернет. С учетом того, как функционирует «всемирная паутина», тиражирование данных, которые однажды попали в сеть (даже если они пробыли там недолгое время), происходит достаточно быстро. Остается непонятным, каким образом можно администратору домена (который не имеет властных полномочий, кроме как в отношении своей собственности) обеспечить прекращение обработки данных на других независимых ресурсах, и может ли администратор домена понести ответственность, если где-то еще «всплывут» удаленные с сайта данные. Безусловно, этот риск необходимо учитывать при ведении в России бизнеса с использованием Интернета.
  • В-третьих, как правило истцам (субъектам персональных данных) не удается обосновать какой-то реальный ущерб, причиненный им незаконным использованием их персональных данных, в связи с чем они требуют возмещения морального вреда. Однако суды либо отказывают им в таком возмещении, либо присуждают крайне малозначительные суммы. Поэтому по состоянию на настоящее время можно осторожно предположить, что вала исков субъектов персональных данных ждать не приходится, поскольку никакой финансовой выгоды такие иски для их заявителей, как правило, не приносят, а иногда ведение такого процесса (рассмотренное дело длилось с момента подачи иска до момента вынесения окончательного решения больше 2 лет) является просто убыточным.

2) Работодателя наказали за внесение бывшего работника в «черный список»

Решение Симоновского районного суда г. Москвы от 9 сентября 2010 года по делу № 2-5042/10/Определение Мосгорсуда от 2 февраля 2011 года по делу № 33-2643

Истцом в деле является бывший продавец в аптеке, а ответчиком, соответственно, бывший работодатель, ветеринарная клиника. Суть спорной ситуации заключалась в том, что компания-работодатель после увольнения сотрудника разместила на профессиональном интернет-форуме информацию о неблагонадежности этого работника. В частности, последний был обвинен в воровстве. Обнаружив это, работник обратилась в суд за защитой чести и достоинства, требованием обязать бывшего работодателя опровергнуть порочащие его сведения, признать незаконной обработку его персональных данных и т. д. Суд частично удовлетворил иск бывшего работника.

В первую очередь, данное решение является прецедентом, который ставит под сомнение законность любых «черных списков» неблагонадежных работников, поскольку даже если информация, которая содержится в таких списках, соответствует действительности и может быть подтверждена доказательствами, опубликование этой информации является незаконным.

Кроме того, особенностью данного решения, оставленного в силе судом кассационной инстанции, является то, что истец заявлял требование, среди прочего, о признании незаконной обработки его персональных данных, однако суд проигнорировал это требование, основывал свое решение исключительно на нормах гражданского законодательства, связанных с защитой чести и достоинства, и не ссылался на законодательство о персональных данных. Это отражает общую тенденцию – суды общей юрисдикции, в ведении которых находится большое количество споров, связанных с обработкой персональных данных граждан, до настоящего момента имеют весьма ограниченное представление о соответствующем законодательстве. В качестве интересного факта можно отметить, что в электронных картотеках решений на сайтах судов такая категория дел как дела, вытекающие из нарушения законодательства о персональных данных, вообще отсутствует.

Таким образом, если говорить о содержании решения, то из него следует вывод о том, что распространять персональные данные можно только при условии наличия на то законных оснований (например, не является нарушением конфиденциальности публикация решения суда, в котором содержатся персональные данные бывшего работника – при этом фактически такая публикация как нельзя лучше отвечает целям, которые преследует работодатель, предупреждая сообщество о нелояльном сотруднике). Если же говорить о косвенном выводе, который следует из решения (недостаточно хорошее знание судами законодательства о персональных данных), то это также необходимо учитывать компаниям при совершении тех или иных действий (особенно если речь идет об опубликовании) с персональными данными (либо тщательно обосновывать свою позицию в случае обработки персональных данных, если это может вызвать споры, либо изначально искать дополнительные аргументы в пользу своих прав и законных интересов в этой связи (помимо закрепленных в законодательстве о персональных данных)).

3) Передача персональных данных должника «коллектору» признана законной

Решение Арбитражного суда Пермского края от 14 декабря 2011 № дела А50-22009/2011

Теперь обратимся к практике арбитражных судов, в которой уже начинаются складываться определенные подходы к принятым этим летом новеллам законодательства о персональных данных.
Арбитражным судом Пермского края принято решение, которое можно считать прецедентным. Изменит ли оно сложившуюся невыгодную для бизнеса практику?

Истцом в деле выступает ОАО «Вымпел-Коммуникации» (компания группы Билайн), а ответчиком – Управление Роспотребнадзора [1] по Пермскому краю. Истец оспорил предписание Роспотребнадзора (выданное по результатам проверки) об исключении из стандартного договора на оказание услуг связи условия о предоставлении третьим лицам, привлеченным оператором связи для взыскания задолженности, информации об абоненте, полученной в рамках договоров и необходимой для взыскания задолженности. Суд встал на сторону оператора связи и принял решение об отмене вышеуказанного предписания.

В обоснование своей позиции суд ссылается на новую норму Закона, закрепленную в ч. 3 ст. 6, касающейся права оператора персональных данных поручить обработку данных другому лицу с согласия субъекта персональных данных третьему лицу на основе заключенного с последним договора. Примечательно, что суд фактически признает в качестве такого согласия общим образом сформулированное положение договора относительно того, что в случае образования задолженности по оплате услуг связи оператор вправе привлекать к взысканию задолженности третьих лиц, и передача персональных данных таким третьим лицам не будет являться нарушением договора и законодательства.

До этого сложилась целая практика (правда с участием банков), в соответствии с которой суды отказывали банкам в обжаловании предписаний Роспотребнадзора об исключении положений о передаче информации о должниках соответствующим агентствам, специализирующимся на взыскании долгов, без согласия субъектов персональных данных. При этом суды ссылались еще на старую редакцию Закона [2]. ВАС РФ встал на сторону банков и признал такую уступку требований законной, однако в обоснование своей позиции ВАС РФ не ссылался на законодательство о персональных данных [3]. Таким образом, вышеуказанное решение Арбитражного суда Пермского края, пожалуй, одно из первых в рассматриваемом контексте вынесено в пользу операторов персональных данных и при этом основано на законодательстве о персональных данных.

Пока рано делать выводы на основе одного этого решения, которое, к тому же, еще может быть оспорено. Ясно одно – бизнесу дан позитивный сигнал, что новая редакция Закона, действительно, может защитить интересы бизнеса.

Смотрите так же:  Налог на прибыль авансы выданные

В виду рассматриваемого решения можно было бы порекомендовать компаниям, которые планируют передавать персональные данные должников «коллекторам», более подробно прописывать соответствующие положения договоров (описывать цели передачи данных, объем передаваемых данных и т. д.) и соотносить их (положения) с формулировками Закона. В этом случае риски оспаривания таких положений будут снижаться.

[1] Само по себе примечательно, что фактически Роспотребнадзор наряду с Роскомнадзором выступает органом, осуществляющим надзор за соблюдением законодательства о персональных данных.

[2] См., например, Постановление 14 Арбитражного апелляционного суда от 10 августа 2011 года по делу № А13-2205/2011.

[3] См. п. 16 Информационного письма Президиума ВАС РФ от 13.09.2011 № 146 «Обзор судебной практики по некоторым вопросам, связанным с применением к банкам административной ответственности за нарушение законодательства о защите прав потребителей при заключении кредитных договоров».

Судебная практика: Интернет-приемные и персональные данные граждан

Наталья Храмцовская

В настоящее время подача обращений в органы государственной власти все чаще осуществляется в электроном виде через интернет-приемные.

Судебная коллегия по гражданским делам Московского городского суда в июне 2011 года рассмотрела начавшееся ещё в декабре 2008 года дело № 33-19918. Когда гражданка подала через интернет-приемную жалобу в администрацию города на индивидуального предпринимателя, то администрация не только выдала предпринимателю копию учетной карточки c персональными данными гражданки, но и разместило на сайте ее обращение и свой ответ на него, не получив на это согласия гражданки.

В декабре 2008 года гражданка обратилась к администрации города Мегиона через интернет-приемную официального сайта администрации с жалобой о нарушении индивидуальным предпринимателем федерального закона «О защите прав потребителей». На заявителя в администрации была сформирована учетная карточка интернет-приемной главы города.

Заверенная надлежащим образом копия этой карточки была представлена в апреле 2009 года индивидуальным предпринимателем мировому судье судебного участка № 1 города Мегиона в рамках рассмотрения заявления о возбуждении уголовного дела в порядке частного обвинения. Копию карточки индивидуальный предприниматель получила в администрации города по своей просьбе, а не по запросу суда.

Гражданка обратилась в суд с заявлением, в котором просила признать незаконными действия администрации города Мегиона в части:

* Выдачи индивидуальному предпринимателю заверенной копии карточки интернет-приемной с ее обращением, содержащей ее персональные данные;

* Опубликования ее обращения на сайте без предупреждения и без её согласия;

* Признания незаконными действий администрации города Мегиона в части опубликования на сайте ее персональных данных: фамилии, имени, отчества, полного почтового адреса.
Решением Тимирязевского районного суда г. Москвы в марте 2010 года действия администрации города Мегион в части выдачи индивидуальному предпринимателю заверенной копии карточки с обращением гражданки, содержащей ее персональные данные, были признаны незаконными.

Позиция Судебной коллегии по гражданским делам Московского городского суда

По мнению Судебной коллегии по гражданским делам Московского городского суда, администрация города, опубликовав на сайте обращение гражданки и ответ на него, и указав ее персональные данные (а именно: фамилию, имя, отчества, полный почтовый адрес) сделала их общедоступными. Согласия на распространение персональных данных и выдачу их третьим лицам гражданка администрации города не давала.

Гражданка подала заявление о нарушении законодательства при обработке персональных данных, которое было рассмотрено Управлением Роскомнадзора по Ханты-Мансийскому автономному округу — Югре и Ямало-Ненецкому автономному округу.

Управлением Роскомнадзора был проведен анализ информации, представленной на официальном сайте администрации города в разделе «Власть» — «Интернет-приемная». Было установлено, что в данном разделе размещались персональные данные (фамилия, имя, отчество, адрес) граждан, обратившихся через данный Интернет-ресурс. Предоставление этих персональных данных является обязательным условием при заполнении гражданином формы для подачи электронного обращения через Интернет-приемную.

Также в данном разделе указано, что «Ответы на заданные вопросы можно прочесть на официальном сайте администрации, в газете «Мегионские новости»». На сайте отсутствовало обязательство по соблюдению условий конфиденциальности, обрабатываемых персональных данных.

В ноябре 2009 года по результатам проверки главе города было вынесено представление об устранении нарушений закона.

Судебная коллегия оставила без изменения решение Тимирязевского районного суда г. Москвы, а кассационную жалобу — без удовлетворения.

Источник: Консультант плюс

[/tags][edit-date]
Новость отредактировал — [edit-reason]

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.