Именем Российской Федерации
РЕШЕНИЕ
г. Москва Дело № А40- 7530/18-139-40
21 марта 2018 г.
Полный текст решения изготовлен 21 марта 2017 года
Резолютивная часть решения объявлена 14 марта 2017 года
Арбитражный суд в составе:
Судьи: Вагановой Е.А. (единолично)
при ведении протокола секретарем судебного заседания Будько Н.С.,
рассмотрев в открытом судебном заседании в зале 7010
дело по заявлению Общества с ограниченной ответственностью "Пфайзер" (ОГРН 1077746269281, ИНН 7709722633, дата регистрации: 31.01.2007, адрес: 123112, город Москва, набережная Пресненская, дом 10)
к Управлению Роскомнадзора по ЦФО (117997, г.Москва, Старокаширское шоссе, д.2, корп.10)
о признании недействительными и отмене акта проверки от 25.09.2017 №А-77/0/543-нд/652, предписание от 25.09.2017 №П-77/0/543-нд/-/1/301, о возложении обязанности устранить допущенные нарушения
при участии: от заявителя: Ждан-Пушкина Д.А. по дов-ти от 15.01.2017, Сандак А.С. по дов-ти от 15.01.2018; от ответчика: Соломоненко В.А. по дов-ти от 09.01.2018, Ефимова Е.А. по дов-ти от 06.02.2018, Яковлева А.В. по дов-ти от 30.01.2018
УСТАНОВИЛ:
ООО «Пфайзер» (далее по тексту также – Заявитель, Общество) обратилось в Арбитражный суд города Москвы с заявлением, с учетом уточнений, принятых судом в порядке ст.49 АПК РФ, к Управлению Роскомнадзора по ЦФО (далее – ответчик, Управление) о признании недействительным предписания от 25.09.2017 №П-77/0/543-нд/-/1/301, о возложении на Управление обязанности устранить допущенные нарушения
Заявитель требования поддерживает, настаивает, что проверка была проведена Управлением с многочисленными нарушениями, что оспариваемое предписание является неисполнимым.
Ответчик представил материалы административного дела, возражал против удовлетворения заявленных требований со ссылкой на законность и обоснованность оспариваемого предписания, указал на то обстоятельство, что вопреки доводам Заявителя, проверка проводилась Управлением в соответствии с требованиями действующего законодательства.
Суд установил, что срок на обжалование ненормативного акта, установленный п. 4 ст. 198 АПК РФ заявителем не пропущен.
Заслушав представителей заявителя, ответчика, изучив представленные доказательства в их совокупности и взаимосвязи, суд приходит к выводу, что заявленные требования удовлетворению не подлежат в связи со следующим.
Согласно ст.198 АПК РФ граждане, организации и иные лица вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.
Таким образом, процессуальный закон устанавливает наличие одновременно двух обстоятельств, а именно, не соответствие оспариваемого акта закону или иному нормативному правовому акту и нарушение оспариваемым актом прав и законных интересов организаций в сфере предпринимательской и иной экономической деятельности, для признания недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц.
Согласно ст.13 ГК РФ ненормативный акт, не соответствующий закону или иным правовым актам и нарушающий гражданские права и охраняемые законом интересы гражданина, может быть признан судом недействительным.
Из существа приведенных норм следует, что для признания недействительным обжалуемого заявителем предписания необходимо наличие двух обязательных условий, а именно, несоответствие его закону и наличие нарушения им прав и охраняемых законом интересов юридического лица.
Как следует из материалов дела, в соответствии с приказом Управления от 19.07.2017 №543-нд в отношении ООО «Пфайзер» было назначено проведение плановой выездной проверки в период с 08.08.2017г. по 28.08.2017г.
Приказом Управления от 28.08.2017 №626-нд срок проведения проверки в отношении ООО «Пфайзер» был продлен до 25.09.2017г.
При проведении проверки Управлением в деятельности Общества были выявлены следующие нарушения: ООО «Пфайзер» при передаче данных третьим лицам используется письменное согласие работника, не соответствующее требованиям ч.4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»; Обществом нарушены требования ст.88 ТК РФ ввиду осуществления передачи персональных данных работников третьим лицам на основании письменного согласия работников, не соответствующего требованиям ч.4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ и др., которые отражены в Акте проверки №А-77/543-нд/652 от 25.09.2017г.
По результатам проверки в отношении Общества было вынесено предписание №П-77/0/543-нд/-/1/301 от 25.09.2017г., которым обществу было указано на необходимость устранить выявленные в ходе проверки нарушения в срок до 27.02.2018г.
Общество, не согласившись с процедурой проведения проверки (продления срока проведения проверки), с вынесенным предписанием, полагая, что указанное предписание нарушает права и экономические интересы Заявителя, обжаловало его в арбитражном суде настоящим заявлением.
Отказывая в удовлетворении заявленных требований, суд руководствуется следующим.
Федеральным законом от 27.07.2006 №152-ФЗ "О персональных данных" регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статьей 3 Федерального закона №152-ФЗ определены следующие понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
ООО «Пфайзер» 31.01.2007 было зарегистрировано в качестве юридического лица за ОГРН 1077746269281. Общество осуществляет предпринимательскую деятельность в сфере торговли фармацевтическими товарами.
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.
Поскольку передача персональных данных работника третьей стороне выходит за рамки трудовых отношений, регулируемых ТК РФ, законодательством в целях защиты персональных данных предусмотрен особый подход в организации оператором такой передачи, направленный на конкретизирование обстоятельств передачи, информированность и осознанность субъекта персональных данных, который должен понимать, кому он дает свое согласие, на что конкретно, и какие последствия могут вытекать вследствие действий, на которые он дает свое согласие.
Как указано выше, в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а особые требования к согласию в письменной форме содержатся в ч. 4 ст. 9 Закона.
Заявитель в обоснование своей позиции указал, что Управлением при проведении проверки был запрошен Перечень документов, указанный в приложении №1 к приказу № 543-нд. По мнению заявителя, Управление, «опираясь на собственный опыт, должно было разумно полагать, что указанный список документов может быть проверен назначенными должностными лицами».
Вместе с тем, согласно пояснениям представителя Ответчика, Управлением в соответствии с Приложением №1 к приказу № 543-нд не запрашивался конкретный перечень документов, необходимых для анализа соблюдения оператором требований законодательства. Согласно Приложению №1 Управлением запрашивались документы, необходимые для проверки соблюдения проверяемым юридическим лицом - оператором требований законодательства в области персональных данных.
В соответствии со ст.18.1 Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» оператор самостоятельно определяет состав, и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных.
Одной из таких мер является издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Состав и перечень мер, виды локальных актов зависят от сферы деятельности юридического лица, конкретных обстоятельств, при которых в организации осуществляется обработка персональных данных.
Таким образом, вопреки доводу заявителя, лица, проводившие проверку, не могли изначально знать и предполагать конкретный перечень документов, необходимых для выполнения оператором требований законодательства.
Исходя из письменных пояснений Управления, необходимость продления проверки была обусловлена неоднократным непредставлением документов, а также представлением некоторых документов в ненадлежащем виде.
Так, согласно протоколу проверки от 01.08.2017 оператор не представил материалы по следующим пунктам: 1.3.1, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.5, 1.8.7, 1.9.1, 1.9.5, 1.10 (представлена только одна форма согласия в соответствии с пунктом 1.10.1), 1.16, 1.18, 1.19, 1.20, 1.21, 2.1, 2.3, 2.4, 2.6, 2.8, 2.9-2.13, а также полностью разделы № 3 (Информационные системы персональных данных) и № 4 (Интернет - сервисы). Оператору необходимо было представить недостающие документы к 08.08.2017.
В соответствии с п. 2.6 Приложения № 1 к приказу «О проведении плановой выездной проверки ООО «Пфайзер», оператор представил копию личного дела работника ООО «Пфайзер». Однако, указанное личное дело, представленное оператором, имеет дефекты, в частности не пропечатана часть сведений, касающихся фамилии сотрудника, наименование должности, а также состав персональных данных, передаваемый в адрес третьих лиц, сведения о третьих лицах (наименование).
Согласно протоколу проверки от 08.08.2017 п. 3 у оператора к 15.08.2017 запрошены документы, которые в установленный срок представлены не были.
Протоколом проверки от 16.08.2017 оператором представлены не все документы, указанные в п. 3 протокола от 08.08.2017. Информация была запрошена повторно к 22.08.2017.
Таким образом, весь перечень документов не предоставлялся в ходе основного (первоначального) срока проведения проверки, что существенно сократило возможность должностных лиц проанализировать все документы и скорректировать запросы для представления дополнительных документов. В связи с этим, Управлением было принято решение о продлении срока проведения проверки, в рамках которого был осуществлен всесторонний анализ документов.
В заявлении Общества также указано, что должностные лица, проводившие проверку, не справились с анализом списка документов, который был запрошен. Вместе с тем, суд отмечает, что указанный вывод Общества имеет характер предположения, не основан на нормах права и фактически указывает на личную оценку действий Управления, без привязки к фактическим обстоятельствам дела.
Кроме того, как обоснованно отметил представитель Управления, «Анализ списка документов» не является мероприятием контроля, должностными лицами «Анализ списка документов» не осуществлялся.
Государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных осуществляется в соответствии с требованиями Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Минкомсвязи России от 14.11.2011 №312 (далее -Административный регламент).
В соответствии с п. 67 Административного регламента в ходе проведения проверки Служба или ее территориальный орган осуществляют определенные мероприятия по контролю, в том числе, рассмотрение документов Оператора. По результатам анализа документов, должностными лицами принимается решение о продлении проверки.
Подобное право предусмотрено п. 21 Административного регламента, согласно которому в исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований,испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Службы или территориального органа Службы, проводящих выездную плановую проверку, срок проведения проверки может быть продлен руководителем Службы или руководителем территориального органа Службы, но не более чем на двадцать рабочих дней.
Доводы заявителя, в рассматриваемом случае, противоречат фактическим обстоятельствам дела, так как п. 21 Административного регламента не установлен конкретный перечень оснований для продления срока. Решение о продлении принимается исходя из фактических обстоятельств и объективной необходимости.
В рассматриваемом случае, такой необходимостью явилось направление запроса представлении дополнительных материалов.
Решение о направлении запроса о представлении дополнительных документов было принято после рассмотрения и анализа содержания материалов, ранее представленных оператором.
Таким образом, по мнению суда, формулировки приказа полностью соответствуют положениям Административного регламента и фактическим целям и действиям.
Доводы заявителя, указанные в абз. 10 п. 1, о необходимости указать в приказе дополнительные документы, которые необходимо представить, также не основаны на требованиях действующего законодательства. Законом не установлена обязанность указывать в приказе перечень документов.
В свою очередь заявитель не указал, какие документы, которые впоследствии были запрошены, не относятся к предмету проверки, что подтверждается протоколами проверки с запросом дополнительных документов от 28.08.2017, от 12.09.2017 и от 20.09.2017 в период продления проверки.
Таким образом, как уже указывалось судом ранее, доводы заявителя носят субъективную оценку, не основанную на нормах закона.
В абз. 12 п. 1 заявитель указывает, что проверка проводилась вплоть до 24 октября 2017 года, до даты вручения Акта проверки.
Вопреки доводам заявителя, согласно представленным в материалы дела доказательствам и пояснениям представителя административного органа, до 24 октября 2017 года проверка не проводилась.
Согласно п. 73.1 Административного регламента предметом выездной проверки являются содержащиеся в документах Оператора сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения Оператора и (или) по месту фактического осуществления его деятельности (п. 73 Административного регламента).
В соответствии с приказом Управлением проводилась выездная проверка, контрольно-надзорные мероприятия, согласно Административного регламенту, проводились по месту нахождения оператора.
Представитель Управления настаивает, что с даты окончания проверки (с 25 сентября) по 24 октября никакие выезды по адресу места нахождения ООО «Пфайзер» должностными лицами не осуществлялись, дополнительные документы не запрашивались, обратное Обществом не доказано.
В связи с изложенным, доводы заявителя о проведении проверки вплоть до 24 октября 2017 года являются несостоятельными и подлежат отклонению.
Относительно доводов заявителя о том, что Акт проверки не был представлен 25.09.2017, Управление пояснило суду следующее.
Предоставление Заявителю акта проверки является одной из существенных гарантий соблюдения прав проверяемого лица, и несоблюдение указанного требования может повлечь признание результатов проверки незаконными.
Указанное право, по мнению суда, Управлением было соблюдено, экземпляр акта Заявителю был вручен.
Вместе с тем, ни законодательством Российской Федерации, ни Административным регламентом не установлен конкретный срок вручения акта проверки Заявителю, а равно и предельный срок завершения процедуры оформления акта проверки.
Необходимо отметить, что в соответствии со сложившейся судебной практикой несвоевременное предоставление акта проверки, а равно несвоевременное представление приложений к нему не признается грубым нарушением, влекущим отмену результатов проверки.
В свою очередь, обращения в Роскомнадзор в рамках, в том числе, досудебного урегулирования не является основанием для должностного лица Роскомнадзора для выдачи Акта проверки оператору.
Кроме того, выдача акта находится в исключительной компетенции того государственного органа, который проводил проверку, которым является Управление по ЦФО. Исходя из материалов дела и согласно пояснениям ответчика, Клочкова А.В. сотрудником Управления не являлась.
По вопросу сроков устранения нарушений, суд отмечает, что в предписании был установлен срок устранения нарушений до 27.02.2018, то есть 5 месяцев, а не 4.
Законодательством установлены предельные сроки устранения нарушений в области персональных данных.
Так, в соответствии с ч. 4 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцатидней с даты достижения цели обработки персональных данных.
Вместе с тем, в предписании установлен срок 28.02.2018, что значительно увеличивает время устранения нарушений.
Таким образом, права и законные интересы проверяемого юридического лица нарушены не были, в том числе, в части касающейся установления сроков устранения выявленных нарушений.
Таким образом, проверка была проведена Управлением без нарушений, в соответствии с требованиями, установленными Административным регламентом. Доводы заявителя не соответствуют фактическим обстоятельствам дела.
Заявитель ссылается на то, что в предписании содержание нарушений не конкретизировано, отсутствует перечень действий, которые должен совершить заявитель в целях устранения нарушений.
При этом, заявитель приводит положения п. 86 Административного регламента, в котором указано, что в предписании указываются, в том числе, содержание нарушения и основание выдачи предписания.
Как видно из приведенной нормы, в ней отсутствует требование указывать в предписании «действия, которые должен совершить заявитель в целях устранения нарушений».
Управление пояснило, что не исключает, что такие требования к предписанию, возможны, имеются в других правовых актах при осуществлении иных видов государственного контроля и надзора, однако, в связи с тем, что такое требование отсутствует в п. 86 Административного регламента контроля в области персональных данных Управление самостоятельно не вправе изменять либо дополнять структуру предписания, установленную правовым актом.
Управление при применении правовой нормы должно исходить из буквального толкования содержания правовой нормы.
Например, в соответствии с п. 78 Административного регламента Федеральной службы по надзору в сфере транспорта исполнения государственной функции по контролю (надзору) за соблюдением юридическими лицами, индивидуальными предпринимателями законодательства Российской Федерации в сфере автомобильного транспорта и городского наземного электрического транспорта, а также на объектах транспортной инфраструктуры, утвержденного приказом Минтранса России от 28.12.2017 № 542, в предписании об устранении выявленных нарушений указываются, в том числе, содержание нарушений и меры по их устранению.
В области персональных данных в целях выполнения предписания способ устранения выявленных в ходе проверки нарушений может быть избран юридическим лицом самостоятельно, причем такая возможность реализована исходя из специфики деятельности оператора.
Более того, при указании конкретного способа исполнения предписания может возникнуть ситуация, при которой устранить нарушение указанным в предписании способом становится невозможным. Следовательно, указание конкретного способа (способов) устранения нарушения могло бы ограничить свободу нарушителя в выборе способа устранения нарушения.
На основании изложенного, относительно способа устранения нарушения суд отмечает, что оператор вправе устранить указанное нарушение любым законным способом.
Право самостоятельно выбирать способ устранения нарушения соотносится со ст. 18.1 Федерального закона «О персональных данных», которая предусматривает, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
При рассмотрении дел об оспаривании ненормативных правовых актов в соответствии со ст. 198 АПК РФ суд устанавливает - соответствует ли ненормативный акт закону или иному правовому акту. Однако, в заявлении не указано, какому именно закону или иному правовому акту не соответствует предписание и Акт Управления. Заявитель не привел конкретной нормы, в которой содержалось бы требование указывать в предписании способы устранения нарушений.
Относительно довода о том, что «в предписании не конкретизировано содержание нарушений» суд отмечает, что вопреки доводам заявителя, в предписании указано, в чем именно заключается содержание нарушения, при этом в предписании указано 9 пунктов, содержащих конкретные нарушения, выявленные в ходе проверки, что соответствует требованиям Административного регламента:
- ООО «Пфайзер» при передаче персональных данных работников третьим лицам, а именно: ООО «Дымстрим», ООО «Аэроклуб Тур» используется письменное согласие работника, не соответствующее требованиям ч. 4. ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- ООО «Пфайзер» нарушены требования ст. 88 Трудового Кодекса Российской Федерации ввиду осуществления передачи персональных данных работников третьим лицам на основании письменного согласия работников, несоответствующего ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- ООО «Пфайзер» нарушены требования ч. 3 ст. 6 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных» в части отсутствия в
поручении общества с ограниченной ответственностью «Пфайзер» перечня
действий (операций) с персональными данными, которые будут совершаться
ООО «Майе АГ», отсутствия указания требований к защите обрабатываемых
персональных данных в соответствии со статьей 19 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных» и т.п., всего 9 нарушений.
В Административном регламенте, как предполагается и в других нормативных правовых актах, отсутствует какое-либо требование о том, в каком именно объеме следует давать «содержание нарушения» (его описание) в предписании.
Таким образом, суд приходит к выводу, что «содержание нарушения» в Предписании об устранении выявленного нарушения № П-77/0/543-нд/-/1/301 от 25.09.2017 было указано в соответствии с требованиями п. 86 Административного регламента.
Следует отметить, что предписание является приложением к Акту проверки от 25.09.2017 № А-77/0/543-нд/652, в котором также перечислены нарушения, указанные в предписании. К Акту проверки, кроме предписания, также прилагается «Справка о результатах плановой результатах плановой выездной проверки ООО «Пфайзер» в части соответствия деятельности по обработке персональных данных требованиям законодательства Российской Федерации в области персональных данных». В данной Справке подробно описано содержание каждого выявленного нарушения, фактические обстоятельства, при которых выявлены нарушения, указанные и в Акте проверки и в предписании об устранении выявленного нарушения.
Относительно довода о том, что заявителю не удается понять, о каком образце письменного согласия работника идет речь в п. 1 Предписания, Управление пояснило, что в Справке в разделе «Обработка персональных данных работников», изложены обстоятельства, при которых было выявлено данное нарушение.
Согласно материалам дела, в ходе проведения проверки была представлена одна письменная форма согласия на передачу персональных данных третьим лицам, которая являлась приложением № 3 к Положению о персональных данных работников и соискателей ООО «Пфайзер», утвержденному и введенному в действие Приказом Генерального директора ООО «Пфайзер» № 15/1-ОД от 29.06.2017, что подтверждается протоколом проверки (п. 3) от 01.08.2017.
В справке указано, что Оператором представлена типовая форма письменного согласия работников на передачу персональных данных третьим лицам, являющуюся приложением № 3 к Положению о персональных данных работников и соискателей ООО «Пфайзер», утвержденному и введенному в действие Приказом Генерального директора ООО «Пфайзер» № 15/1-ОД от 29.06.2017.
В качестве подтверждения использования указанной формы Оператором представлено согласие Ванжа Н.А. на передачу персональных данных третьим лицам от 01.07.2017. Анализ указанного согласия выявил несоответствия ч.4 ст.9 Федерального закона в части отсутствия фамилии, имени, отчества, адреса субъекта персональных данных, номера основного документа, удостоверяющего его личность, сведений о дате выдачи указанного документа и выдавшем его органе, что не соответствует п. 1 ч. 4 ст. 9 Федерального закона; отсутствия наименования и адреса оператора, получающего согласие субъекта персональных данных, что не соответствует п. 3 ч. 4 ст. 9 Федерального закона; указания нескольких целей обработки персональных данных, что не соответствует п. 4 ч. 4 ст. 9 Федерального закона; перечня действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, что не соответствует п. 7 ч. 4 ст. 9 Федерального закона.
Соответственно, выводы о нарушениях основывались исключительно на документах представленных заявителем в ходе проверки, что в том числе не требовало оформления дополнительных справок и протоколов, предусмотренных п. 83 Административного регламента.
Необходимо также отметить, что доводы Заявителя об отсутствии необходимости подписания работниками отдельного согласия на обработку персональных данных являются необоснованными, поскольку в оспариваемых Заявителем документах отсутствует требование со стороны Управления о необходимости получения Заявителем отдельного согласия на обработку персональных данных для каждой цели обработки персональных данных.
Относительно доводов заявления о том, что к акту проверки не приложены доказательства, подтверждающие выявленные нарушения суд отмечает, что согласно п. 83 Административного регламента к акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения. Как следует из данной нормы, в ней перечисляются процессуальные документы, сформированные в рамках проверки, при отсутствии у Оператора необходимых для достижения цели проверки документов и информации.
Вместе с тем, выводы по результатам проверки Заявителя были сформированы на основании документов, представленных Заявителем, что в силу их достаточности и информативности не потребовало дополнительного оформления процессуальных документов в виде протоколов и объяснительных, предусмотренных п. 83 Административного регламента.
Относительно довода о том, что Справка не понятная (п. 29-31), не соответствует содержанию и структуре Предписания, Управление поясняет, что справка представляет собой описательно-рекомендательный документ, не влекущий за собой наступление юридических последствий для проверяемого лица. В справке излагаются все обстоятельства, установленные в ходе проверки, а не только описание выявленных нарушений. В зависимости от вида деятельности организации, в справке излагаются случаи и способы обработки персональных данных, их соответствие либо несоответствие требованиям действующего законодательства, рекомендации о способах устранения тех или иных нарушений, выводы по результатам проверки.
По своему содержанию справка как документ направлен организацию рабочего взаимодействия с проверяемым лицом по устранению нарушений, выявленных в ходе проверки. Соответственно единственным документом ненормативного характера, предусмотренным Административным регламентом и порождающими обязанности по устранению нарушений является Предписание.
Таким образом, использование и аргументация заявителя относительно положений справки не состоятельна.
Относительно довода о том, что ООО «Пфайзер» не определены места хранения персональных данных медицинских работников суд установил следующее.
Согласно 1.9.3. Приложению № 1 к приказу «О проведении плановой выездной проверки ООО «Пфайзер», оператор должен был представить документы, подтверждающие принятие мер при обработке персональных данных по обеспечению в отношении каждой категории персональных данных возможности определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Согласно протоколу от 01.08.2017, закрывающим документом по данному пункту является «Положение об организации обработки и обеспечении безопасности персональных данных в ООО «Пфайзер», утвержденное генеральным директором ООО «Пфайзер» 14.07.2017.
Согласно протоколу проверки от 08.08.2017 (п. 23) Пфайзер представлен Приказ № 22-од от 30.07.2017, которым утверждены места хранения следующих категорий субъектов персональных данных, обрабатываемых без использования средств автоматизации, а именно:
- уволенные работники - 21 этаж шкаф № 1,
- действующие работники - 21 этаж шкафы № 2-5,
- соискатели - 21 этаж шкаф 6.
Медицинских работников в данном перечне нет.
Относительно довода Заявителя о том, что из Справки неясно, в чем выразилось нарушение ч. 7 ст. 22 Федерального закона «О персональных данных».
Уведомление об обработке персональных данных от Оператора внесено в Реестр операторов, осуществляющих обработку персональных данных, на основании приказа от 31.07.2017 № 198 под номером 77-17-006421. В дальнейшем информация менялась на основании направленных информационных писем о внесении изменений (вх. №34241/77 от 22.08.2017, вх. 36440/77 от 01.09.2017).
Согласно сведениям, указанным в Реестре (п. 10. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки) оператор осуществляет трансграничную передачу персональных данных на территорию США и Франции.
Согласно протоколу от 22.08.2017 Оператору необходимо было представить информацию об осуществлении трансграничной передачи (п. 1 протокола). 28.08.2017 оператором представлена Справочная информация по трансграничной федерации, из которой следовало, что трансграничная передача осуществляется только на территорию США.
Информация об осуществлении трансграничной на территорию Франции отсутствовала. Фактов осуществления трансграничной передачи персональных данных на территорию Франции в ходе проведения проверки не выявлено.
Согласно ч. 7 ст. 22 Закона в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Оператором не были направлены информационное письмо о внесении изменений в части корректировки перечня стран, куда осуществляется трансграничная передача персональных данных.
Ссылка заявителя на судебные акты, указанные в заявлении не обоснована, поскольку решения принимались судами относительно предписаний, выданных за нарушения в других сферах законодательства без учета специфики законодательства в сфере персональных данных.
Суд также считает необходимым отметить, что Заявитель в своем заявлении сделал ошибочные выводы о том, что требования ч. 4 ст. 9 Федерального закона «О персональных данных» к форме и содержанию согласия работника не распространяются трудовые отношения, и заявитель не обязан соблюдать эти требования.
В п. 1 Предписания указано, что ООО «Пфайзер» при передаче персональных данных работников третьим лицам, а именно: ООО «Дымстрим», Арендодатель Сити СентерИнвестмент Б.В., ПАО «Мобильные ТелеСистемы», ООО «Праймзон», ООО «Юнит Системе», ООО «АлдАвтомотив», ООО «Передовые Платежные Решения », СПАО «Ингострах», ООО «КС Аутсорсинг», ООО «АйронМаунтен СНГ», ООО «ЕВ Групп», ООО «Бизнеслэнд сервис», АО «Такси Москва», ООО «ГетТаксиРус», ИП «Душенков», АО «ДХЛ Интернешнл», ООО «Мэйджор Экспресс», ООО «Урал-пресс Подписка», ООО «Автопилот», АО СК «Благосостояние», АО СК «Альянс», ООО «Аэроклуб Тур» используется письменное согласие работника, не соответствующее требованиям ч. 4. ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В п. 2 Предписания указано, что ООО «Пфайзер» нарушены требования ст. 88 Трудового Кодекса Российской Федерации ввиду осуществления передачи персональных данных работников третьим лицам на основании письменного согласия работников, несоответствующего ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В соответствии с данной нормой «в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных».
В соответствии с ч. 1 ст. 4 Федерального закона «О персональных данных» законодательство Российской Федерации в области персональных данных состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов. В рассматриваемом случае законодателем приводится именно формулировка «предусмотренных федеральным законом», а не «настоящим федеральным законом». Следовательно, требования касающиеся обработки персональных данных могут содержаться и в иных федеральных законах, в том числе в гл. 14 Трудового кодекса Российской Федерации.
В статьях 8, 10, 11, 12 и 16 Федерального закона «О персональных данных» приводятся определенные случаи, при которых обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Однако часть 4 статьи 9 Федерального закона «О персональных данных» допускает, что случаи обработки персональных данных могут также быть предусмотрены в иных федеральных законах.
Например, в ст. 88 ТК РФ предусмотрено, что при передаче персональных данных работника работодатель должен соблюдать определенные требования, в том числе, не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.
В ходе проведения проверки было установлено, что ООО «Пфайзер» передает персональные данные своих работников третьим лицам (ООО «Дымстрим», Арендодатель Сити СентерИнвестмент Б.В., ПАО «Мобильные ТелеСистемы», ООО «Праймзон», ООО «Юнит Системе», ООО «АлдАвтомотив», ООО «Передовые Платежные Решения», СПАО «Ингострах», ООО «КС Аутсорсинг» и т.д.). При этом используется форма письменного согласия, утвержденного приказом Генерального директора ООО «Пфайзер» № 15/1-ОД от 29.07.2017. В качестве подтверждения использования указанной формы Оператором представлено согласие от 01.07.2017 на имя Ванжа Н.А. Анализ указанного согласия выявил его несоответствие требованиям ч. 4 ст. 9 Федерального закона в связи с отсутствием определенных сведений.
Таким образом, в действиях ООО «Пфайзер» было выявлено нарушение ч. 4 ст. 9 Федерального закона «О персональных данных» и ст. 88 ТК РФ.
Относительно довода о том, что письменная форма согласия на обработку персональных данных соответствует ч. 4 ст. 9 Федерального закона «О персональных данных» суд отмечает следующее.
В разделе справки «Обработка персональных данных работников» указано, что Оператором представлена типовая форма письменного согласия работников на передачу персональных данных третьим лицам, являющуюся приложением №3 к Положению о персональных данных работников и соискателей ООО «Пфайзер», утвержденному и введенному в действие Приказом Генерального директора ООО «Пфайзер» № 15/1-ОД от 29.07.2017.
В качестве подтверждения использования указанной формы Оператором представлено согласие от 01.07.2017 на имя Ванжа Н.А.
Именно по результатам анализа указанного согласия было установлено его несоответствие ч. 4 ст. 9 Федерального закона, поскольку в согласии отсутствовали: фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, что не соответствует п. 1 ч. 4 ст. 9 Федерального закона; наименование и адрес оператора, получающего согласие субъекта персональных данных, что не соответствует п. 3 ч. 4 ст. 9 Федерального закона; указаны несколько целей обработки персональных данных, что не соответствует п. 4 ч. 4 ст. 9 Федерального закона; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, что не соответствует п. 7 ч. 4 ст. 9 Федерального закона.
Таким образом, доводы заявителя о том, что все сведения, указанные в ч. 4 ст. 9 Федерального закона «О персональных данных» указаны в согласии работник на передачу третьим лицам, не соответствует действительности и отклоняются судом.
Относительно довода о том, что заявитель не нарушал ч. 1 и 3 ст. 6 Федерального закона «О персональных данных» в связи с тем, что сотрудники заявителя давали согласие на передачу персональных данных в архив заявителя, ООО «Айрон Маунтен СНГ» судом установлено следующее.
Заявитель ссылается на то, что ООО «АйронМаунтен СНГ» осуществляет архивное хранение документов, в связи с тем, что ООО «Пфайзер» не имеет соответствующих помещений.
Однако, в соответствии с ч. 2 ст. 1 Федерального закона «О персональных данных» действие закона не распространяется на отношения по организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
Законодательство об архивном деле содержит требование и возможность хранения различных документов организациями всех форм собственности. После архивирования документа, то есть передачи его на архивное хранение, в действие вступает законодательство об архивном деле. Относительно хранения документов следует отметить, что хранение архивных документов в соответствующих архивах предусматривает определенный режим, особенности которого предусмотрены законодательством об архивном деле. Так, архивному документу присваиваются реквизиты, позволяющие идентифицировать информацию, зафиксированную на материальном носителе в соответствии с государственным стандартом Российской Федерации ГОСТ Р 51141-98.
Документ становится архивным только после принятия собственником (владельцем) документа решение о передаче его в архив в связи с закрытием дела, то есть в связи с тем, что данный документ окончательно исполнен (например, трудовой договор, иные договоры об оказании услуг и т.п.) и в процессе текущей хозяйственной деятельности организации более не пригодится.
При проведении проверки комиссии не были представлены материалы, подтверждающие, что указанными документами соблюдены установленные архивным законодательством требования, а также доказательства того, что личные дела сотрудников передавались на архивное хранение.
Кроме того, следует отметить, что в соответствии с ч. 2 ст. 1 Федерального закона «О персональных данных» действие закона распространяется только лишь на отношения по организации хранения, комплектования, учета и использования, содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
Отношение по передаче персональных данных не подпадают под указанные исключения. В связи с чем, передача персональных данных должна осуществляться с учетом требований Федерального закона «О персональных данных».
В ходе проведения проверки установлено, что в целях выполнения требований законодательства Российской Федерации в части хранения личных дел уволенных сотрудников ООО «Пфайзер» организована передача личных дел уволенных работников на хранение в адрес ООО «АйронМаунтен СНГ».
Передача осуществляется на основании договора № 171213 от 17.12.2013 между ООО «Пфайзер» и ООО «АйронМаунтен СНГ».
Согласно Справке № 2 об описании взаимодействия с третьими лицами, указанными в Приложении 3 к положению о персональных данных работников и соискателей ООО «Пфайзер» предметом договора, заключенного с ООО «АйронМаунтен СНГ», является оказание услуг по хранению документов, а также другие услуги (например, уничтожение).
Заявитель указывает, что передача персональных данных третьему лицу ООО «АйронМаунтен СНГ» осуществляется с письменного согласия работника.
Управление поясняет, что принимаемый на работу работник Заявителя дает свое согласие на обработку его персональных данных. Исходя из положений Закона о персональных данных, в том числе, требований статьи 5, указанное согласие распространяется исключительно на правоотношения в рамках трудовых отношений в течение срока действия трудового договора, т.е. на период когда физическое лицо является работником Заявителя. После прекращения трудовых отношений физическое лицо автоматически перестает быть работником Заявителя, и, следовательно, его согласие, данное как работником в период исполнения им трудовых обязанностей, теряет свою юридическую силу.
В соответствии с ч. 3 ст. 6 Закона о персональных данных передача персональных данных третьему лицу в рамках договора-поручения осуществляется при наличии двух основных условий: согласия физического лица и договора оператора с третьим лицом.
Соответственно, при передаче в рамках договора-поручения персональных данных уволенных сотрудников Заявитель ввиду неприменимости согласия указанных лиц, данного на период трудовых отношений, обязан был получить их дополнительное согласие в соответствии с требованиями п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных».. Однако, указанное требование Заявителем не было выполнено, кроме того, в ходе проверки не были представлены материалы, подтверждающие наличие правовых оснований на осуществление передачи персональных данных уволенных сотрудников в адрес Айрон Маунтин.
Относительно довода о том, что заявитель вправе обрабатывать персональные данные без согласия уволенных сотрудников в целях исполнения налогового законодательства и законодательства о бухгалтерском учете Управление поясняет следующее.
Налоговое законодательство и законодательство о бухгалтерском учете содержит требование о том, что организации обязаны хранить документацию в течение установленных сроков. В соответствии с пп. 6 п. 3.4 ст. 23 НК РФ плательщики страховых взносов обязаны в течение шести лет обеспечивать сохранность документов, необходимых для исчисления и уплаты страховых взносов. Согласно пп. 5 п. 3 ст. 24 НК РФ налоговые агенты обязаны в течение четырех лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налогов. На основании ст. 29 Федерального закона от 06.12.2011 №402-ФЗ «О бухгалтерском учете» первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней подлежат хранению экономическим субъектом в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года.
В соответствии с п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных допускается в случае, если она необходима для достижения целей, предусмотренных, в том числе законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Вместе с тем, заявитель не учитывает тот факт, что обработка персональных данных осуществляется им не самостоятельно, а на основании поручения третьим лицом ООО «АйронМаунтен СНГ».
В соответствии с ч. 3 ст. 6 Федерального закона «О персональных данных», согласно которым оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Так, например, в соответствии п. 1 ст. 53 Федерального закона «О связи» оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» обработку персональных данных абонента-гражданина третьим лицам. При этом, в случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.
Указанные заявителем положения налогового и бухгалтерского законодательства таких исключений не содержат, в связи с чем, поручение обработки персональных данных должно осуществляться в соответствие с общими требованиями, изложенными в ч. 3 ст. 6 Федерального закона «О персональных данных.
Таким образом, в связи с тем, что ООО «Пфайзер» осуществляет обработку персональных данных уволенных сотрудников не самостоятельно, а с привлечением третьего лица - ООО «АйронМаунтен СНГ», необходимо учитывать положения ч. 3 ст. 6 Федерального закона «О персональных данных».
На основании изложенного Управление обоснованно пришло к выводу, что действиями Управления при проведении проверки не были нарушены права и законные интересы заявителя.
По мнению суда, действия Управления соответствовали требованиям действующего законодательства Российской Федерации. Доказательств, свидетельствующих о нарушении прав и законных интересов ООО «Пфайзер» суду не представлено.
Так же как не представлено суду доказательств того, что выданное Управлением предписание не соответствует законодательству, создает препятствия к осуществлению прав, свобод и реализации законных интересов или не законно возлагает какие-либо обязанности.
Заявление о разъяснении предписания заявителем в адрес Управления не подавалось.
Требования, изложенные в предписании об устранении нарушений законодательства, отвечают основным задачам законодательства от административных правонарушениях, указанных в ст. 1.2 КоАП РФ. Организация обязана прекратить противоправное деяние, в этой связи предписанием об устранении нарушений законодательства обеспечивается защита от совершаемого правонарушения.
С учетом изложенного, суд полагает, что оспариваемое предписание законно и обоснованно, и не препятствует осуществлению деятельности Общества.
Доводы заявителя о процессуальных нарушениях, допущенных Управлением в ходе проверки, судом отклоняются как необоснованные.
В нарушение действующих правовых норм заявителем не указаны объективные права и законные интересы, которые, по его мнению, нарушаются оспариваемым предписанием.
С учетом изложенного, требования заявителя удовлетворению не подлежат.
Руководствуясь ст.ст. 29, 65, 71, 75, 123, 156, 167-170, 176, 198-201, АПК РФ, суд
РЕШИЛ:
В удовлетворении заявленных требований Общества с ограниченной ответственностью "Пфайзер" (ОГРН 1077746269281, ИНН 7709722633, дата регистрации: 31.01.2007, адрес: 123112, город Москва, набережная Пресненская, дом 10) – отказать в полном объеме.
Проверено на соответствие действующему законодательству.
Решение может быть обжаловано в месячный срок со дня его принятия в Девятый арбитражный апелляционный суд.
СУДЬЯ: Е.А. Ваганова