ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "АЭРОФЛОТ-РОССИЙСКИЕ АВИАЛИНИИ" (далее - заявитель, общество) обратилось в Арбитражный суд города Москвы с заявлением о признании пунктов 3-7 предписания от 28.04.2021 № П77/09/39-нд/-/1/11, вынесенного Управлением Роскомнадзора по Центральному федеральному округу (далее - заинтересованное лицо, административный орган), недействительными.
Как следует из заявления и материалов дела, в соответствии с приказом от 15.03.2021 № 39-пд Управлением Роскомнадзора по Центральному федеральному округу проведена плановая выездная проверка в отношении ПАО «Аэрофлот». По результатам проверки в отношении заявителя составлен акт проверки от 28.04.2021 № А-77/09/39-нд/77, из которого следует, что административным органом выявлено нарушение заявителем Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Как следует из п. 3 указанного предписания, ПАО «Аэрофлот» нарушены требования ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части несоблюдения установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» требований по уничтожению персональных данных уволенных работников.
Так, административным органом был выявлен факт обработки заявителем персональных данных уволенных государственных гражданских служащих после достижения цели обработки (увольнение, исполнение требований законов о бухгалтерском учете, о налоговом учете), уволенных свыше 5 лет на момент проверки, что подтверждается снимками экрана информационной системы «SAP», в том числе отображающими карточкb уволенных работников .
Также, согласно пп. 4,5 предписания ПАО «Аэрофлот» нарушены требования ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части использования письменного согласия работников, несоответствующего требованиям ч. 4. ст. 9 Федерального закона от 27.07,2006 № 152-ФЗ «О персональных данных», при передаче персональных данных работников в адрес САО «РЕСО-Гарантия» (Договор №1/21 добровольного медицинского страхования от 29.12.2020, заключенный с САО 3 «РЕСО-Гарантия»), что является нарушением ст. 88 Трудового кодекса Российской Федерации. Так, административным органом установлено, что ПАО «Аэрофлот» осуществляется добровольное медицинское страхование работников в соответствии с условиями договора №1/21 добровольного медицинского страхования от 29.12.2020, заключенного с САО «РЕСO-Гарантия». Персональные данные работников в САО «PЕCO-Гарантия» передаются в объеме: ФИО; пол; дата рождения; адрес; телефон; подразделение.
При этом, как следует из пп. 4-5 предписания, ПАО «Аэрофлот» представлен пример передачи персональных данных работника XXX в адрес САО «РЕСОГарантия» от 01.03.2021 в объеме: ФИО, пол, дата рождения, адрес, подразделение.
Передача персональных данных работника Якимчука А.П. в адрес САО «РЕСОГарантия» осуществлялась в рамках включения к базу застрахованных. В ходе проведения проверки ПАО «Аэрофлот» административному органу представлено «Соглашение на обработку персональных данных» XXX от 03.02.2020. Административный орган указывает на то, что согласие в письменной форме на обработку персональных данных должно содержать цель (одну) обработки персональных данных в силу требований закона. В то же время, как было установлено заинтересованным лицом, представленное ПАО «Аэрофлот» согласие на обработку персональных данных» работника не содержит указание цели обработки персональных данных.
В качестве правового основания передачи персональных данных работников в целях обеспечения санаторно-курортным лечением ПАО «Аэрофлот» ссылается на раздел X Коллективного договора, заявление на предоставление курса санаторнокурортного лечения, а также на согласие на обработку персональных данных.
Административный орган указывает на то, что согласие в письменной форме на обработку персональных данных должно содержать цель (одну) обработки персональных данных в силу требований закона. В то же время, как указывает административный орган в пп. 6-7 предписания, представленное ПАО «Аэрофлот» согласие на обработку персональных данных работников содержит указание нескольких целей обработки персональных данных.
Что решил суд:
Согласно п. 3 оспариваемого предписания ПАО «Аэрофлот» нарушены требования ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части требований по уничтожению персональных данных уволенных работников; при исследовании был выявлен факт обработки персональных данных уволенных государственных гражданских служащих после достижения цели обработки (увольнение, исполнение требований законов о бухгалтерском учете, о налоговом учете), уволенных свыше 5 лет на момент проверки.
Вместе с тем, согласно ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Однако данное утверждение не соответствует закону. Так, из буквального толкования ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» следует, что в случае если оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных по основаниям, предусмотренным указанным федеральным законом или иными федеральными законами, обработка персональных данных может осуществляться оператором после достижения цели обработки персональных данных.
Документы/сведения кадрового обеспечения (то есть приказы/распоряжения по личному составу, документы (докладные записки, справки, заявления) к ним о приеме, переводе, перемещении, ротации, совмещении, совместительстве, увольнении, оплате труда, аттестации, повышении квалификации, присвоении классных чинов, разрядов, званий, поощрении, награждении, об изменении анкетно-биографических данных, отпусках по уходу за ребенком, отпусках без сохранения заработной платы; личные карточки работников, в том числе государственных и муниципальных служащих) подлежат хранению в организации в течение 50/75 лет.
В отношении передачи данных третьим лицам. Согласно п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» обработка персональных данных допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Также, пунктами 4, 5, 6, 7 предписания Обществу вменяется нарушение в части использования письменного согласия работников, не соответствующего требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Вместе с тем, согласно ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а именно: обработка специальной категории персональных данных (подп. 1 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»); обработка биометрических персональных данных (ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»); трансграничная передача персональных данных (подп. 1 ч. 4 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
В то же время, обрабатываемые в рамках указанных договоров с третьими лицами персональные данные работников не относятся к специальной категории персональных данных либо биометрическим персональным данным; трансграничная передача персональных данных не осуществляется. В этой связи получение оператором (ПАО «Аэрофлот») согласий по предусмотренной ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» форме не требовалось.
Нюансы:
30/05/2022 года кассационная инстанция оставила решение первой и аппеляционной инстанции в силе.