Обработка избыточных персональных данных входит в число наиболее распространенных претензий, которые Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) предъявляет при проведении проверок соблюдения законодательства о защите персональных данных.
Арбитражный суд Ростовской области в ноябре 2013 года рассмотрел дело № А53-12557/2013 в котором Управление Роскомнадзора по Ростовской области предъявило претензии филиалу ООО «МЕТРО Кэш энд Керри», в кадровых делах которого оно обнаружило копии паспортов и военных билетов, а также фотографии.
Суть спора
В апреле 2013 года Управлением Роскомнадзора по Ростовской области была проведена плановая выездная проверка филиала общества ООО «МЕТРО Кэш энд Керри» в г. Ростове-на-Дону. При проведении проверки было выявлено, что общество нарушает обязательные требования в сфере обработки персональных данных: проводит обработку персональных данных, избыточных по отношению к заявленным целям их обработки.
В личных делах работников общества хранились документы, содержащие персональные данные, превышающие объем персональных данных работников, установленный пунктом 2 статьи 86 Трудового кодекса РФ. К незаконно обрабатываемым персональным данным работников относятся копии страниц паспорта, копии страниц военного билета.
Обществу было выдано предписание с указанием срока устранения выявленного нарушения. Не согласившись с предписанием, общество, обратилось в Арбитражный суд Ростовской области.
Позиция Арбитражного суда Ростовской области
Суд отметил, что в действующем законодательстве РФ объем и содержание обрабатываемых персональных данных работника определен в ряде нормативно-правовых документов. При этом основным документом является Трудовой кодекс РФ.
В установленном законодательством порядке воинского учета четко установлен объем и содержание обрабатываемых персональных данных, и не предусмотрено получение и хранение в организации копий документов, например, копий военных билетов.
По мнению суда, перечень документов по кадровому учету является фиксированным, а не произвольным, что подтверждается статьей 656 «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558, в которой отмечено, что «виды документов, входящих в состав личных дел определенных категорий работников, указаны в соответствующем законодательстве».
Суд пришел к выводу о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Сбор информации о серии и номере паспорта, годе и месте рождения, о поле и т.д. является избыточным. Копирование страниц паспорта также порождает дополнительные риски для общества. При этом суд отметил, что общество не указало целей, для которых необходима обработка персональных данных работников, принимаемых на работу, а указанные основания были признаны судом недостаточными для истребования у работников спорной документации.
По мнению суда, собирая и храня в документах по кадровому учету копии страниц паспортов работника, общество превысило объем обрабатываемых персональных данных работника.
Представитель Управления Роскомнадзора в ходе судебного заседания сообщил, что в установленный срок общество выполнило предписание и предоставило Управлению документы, подтверждающие уничтожение копий страниц паспортов работников.
Арбитражный суд отказал обществу в удовлетворении заявления.
Позиция Пятнадцатого арбитражного апелляционного суда
Пятнадцатый арбитражный апелляционный суд в марте 2014 года отклонил довод общества о том, что оно использует фотографии, прикреплённые скрепками к карточкам Т-2, поскольку, по мнению суда, такая идентификация должна производиться по документам, удостоверяющим личность.
По мнению суда, использование фотоизображения работника для его идентификации является обработкой биометрических персональных данных. Такая обработка допускается только с письменного согласия субъекта персональных данных. Письменное согласие на обработку биометрических персональных данных общество у работников проверяемого филиала не получало.
Собирая и храня в документах по кадровому учету копии страниц паспортов работника, общество превысило объем обрабатываемых персональных данных работника. Общество не предоставило судам первой и апелляционной инстанциям правовых оснований для сбора и дальнейшей обработки копий страниц паспорта работников и фотографий работников.
Арбитражный суд оставил без изменения решение Арбитражного суда Ростовской области, а апелляционную жалобу без удовлетворения.
В кассационной инстанции дело не рассматривалось.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
Арбитражный суд Ростовской области в ноябре 2013 года рассмотрел дело № А53-12557/2013 в котором Управление Роскомнадзора по Ростовской области предъявило претензии филиалу ООО «МЕТРО Кэш энд Керри», в кадровых делах которого оно обнаружило копии паспортов и военных билетов, а также фотографии.
Суть спора
В апреле 2013 года Управлением Роскомнадзора по Ростовской области была проведена плановая выездная проверка филиала общества ООО «МЕТРО Кэш энд Керри» в г. Ростове-на-Дону. При проведении проверки было выявлено, что общество нарушает обязательные требования в сфере обработки персональных данных: проводит обработку персональных данных, избыточных по отношению к заявленным целям их обработки.
В личных делах работников общества хранились документы, содержащие персональные данные, превышающие объем персональных данных работников, установленный пунктом 2 статьи 86 Трудового кодекса РФ. К незаконно обрабатываемым персональным данным работников относятся копии страниц паспорта, копии страниц военного билета.
Обществу было выдано предписание с указанием срока устранения выявленного нарушения. Не согласившись с предписанием, общество, обратилось в Арбитражный суд Ростовской области.
Позиция Арбитражного суда Ростовской области
Суд отметил, что в действующем законодательстве РФ объем и содержание обрабатываемых персональных данных работника определен в ряде нормативно-правовых документов. При этом основным документом является Трудовой кодекс РФ.
В установленном законодательством порядке воинского учета четко установлен объем и содержание обрабатываемых персональных данных, и не предусмотрено получение и хранение в организации копий документов, например, копий военных билетов.
По мнению суда, перечень документов по кадровому учету является фиксированным, а не произвольным, что подтверждается статьей 656 «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558, в которой отмечено, что «виды документов, входящих в состав личных дел определенных категорий работников, указаны в соответствующем законодательстве».
Суд пришел к выводу о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Сбор информации о серии и номере паспорта, годе и месте рождения, о поле и т.д. является избыточным. Копирование страниц паспорта также порождает дополнительные риски для общества. При этом суд отметил, что общество не указало целей, для которых необходима обработка персональных данных работников, принимаемых на работу, а указанные основания были признаны судом недостаточными для истребования у работников спорной документации.
По мнению суда, собирая и храня в документах по кадровому учету копии страниц паспортов работника, общество превысило объем обрабатываемых персональных данных работника.
Представитель Управления Роскомнадзора в ходе судебного заседания сообщил, что в установленный срок общество выполнило предписание и предоставило Управлению документы, подтверждающие уничтожение копий страниц паспортов работников.
Арбитражный суд отказал обществу в удовлетворении заявления.
Позиция Пятнадцатого арбитражного апелляционного суда
Пятнадцатый арбитражный апелляционный суд в марте 2014 года отклонил довод общества о том, что оно использует фотографии, прикреплённые скрепками к карточкам Т-2, поскольку, по мнению суда, такая идентификация должна производиться по документам, удостоверяющим личность.
По мнению суда, использование фотоизображения работника для его идентификации является обработкой биометрических персональных данных. Такая обработка допускается только с письменного согласия субъекта персональных данных. Письменное согласие на обработку биометрических персональных данных общество у работников проверяемого филиала не получало.
Собирая и храня в документах по кадровому учету копии страниц паспортов работника, общество превысило объем обрабатываемых персональных данных работника. Общество не предоставило судам первой и апелляционной инстанциям правовых оснований для сбора и дальнейшей обработки копий страниц паспорта работников и фотографий работников.
Арбитражный суд оставил без изменения решение Арбитражного суда Ростовской области, а апелляционную жалобу без удовлетворения.
В кассационной инстанции дело не рассматривалось.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
