Роман Писарев, iTPROTECT: Как решение Арбитражного суда по делу «Аэрофлота» упрощает жизнь операторам ПДн

Как долго хранить данные уволенных сотрудников? Сколько согласий на обработку ПДн нужно собирать у работников? В каких случаях форма согласия не имеет значения? Российский бизнес получил чёткие разъяснения по целому ряду ситуаций, которые ранее заканчивались штрафами Роскомнадзора. Руководитель департамента аудита и консалтинга iTPROTECT Роман Писарев проанализировал важное решение Арбитражного суда Москвы.

ИБ-интегратор iTPROTECT предлагает своим клиентам более 40 типов решений и услуг по ключевым направлениям информационной безопасности: защита сети, ИТ-инфраструктуры, данных, приложений, управление доступом и пр.

История вопроса

В 2021 году «Аэрофлот» получил несколько предписаний о нарушениях по итогам проверки Роскомнадзора. Суть претензий регулятора знакома многим российским организациям – подробнее разберём ниже.

Компания оспорила в судебном порядке. Теперь мы можем изучить опубликованные Арбитражным судом Москвы материалы, где последовательно и со всеми ссылками на законодательство обозначена позиция по всем выявленным спорным ситуациям. Хоть право у нас в стране не прецедентное, эта аргументация немало поможет бизнесу в будущих проверках Роскомнадзора.

Итак, перейдём к сути.

Хранение персональных данных уволенных сотрудников

Как следует из материалов, в ходе проверки в ИС SAP обнаружились персональные данные работников, которые были уволены более 5 лет назад. Инспектор усмотрел в этом нарушение, поскольку цель обработки ПДн на данный момент уже достигнуты (увольнение, исполнение требований законов о бухгалтерском учете, о налоговом учете). Согласно ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в этом случае оператор обязан прекратить обработку ПДн и уничтожить их.

Стоит отметить, что срок в пять лет, на протяжении которых ПДн могут оставаться в ИС, законом не установлен. Требования Роскомнадзора основывались на той логике, что в первые три года после увольнения данные могут потребоваться налоговым органам, ещё 1-2 года считаются неким переходным периодом. Далее же у организации нет легитимной цели, чтобы оставлять ПДн на своих серверах.

Однако суд с такой позицией не согласился:

«...Приказом Росархива от 20.12.2019 №236 утвержден Перечень типовых

управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения...

Согласно п. 1.2 раздела II Перечня перечень включает типовые управленческие архивные документы, образующиеся в процессе деятельности государственных органов, органов местного самоуправления и организаций при осуществлении однотипных (общих для всех или большинства) управленческих функций, независимо от их организационно-правовых форм и от формы собственности, с указанием сроков хранения.

При этом документы/сведения кадрового обеспечения... подлежат хранению в организации в течение 50/75 лет».

При этом в соответствии с п. 4.3 Инструкции эти сроки должны соблюдаться всеми организациями, вне зависимости от формы собственности. Только по истечении периода временного хранения документы необходимо уничтожить, а до этого момента закон напрямую запрещает это делать.

«Аэрофлот» также предоставил запросы Пенсионного фонда по уволенным сотрудникам, указав, что уничтожение ПДн помешало бы компании ответить ведомству. Как указано в решении суда, «периоды, которые затрагивают запросы органов Пенсионного фонда РФ, могут быть любыми, в том числе свыше 5 лет с момента увольнения».

Правильное оформление согласий на обработку ПДн

Другая часть претензий Роскомнадзора касалась согласий на обработку ПДн. Как указано в ч.4. ст.9 152-ФЗ, письменное согласие на обработку ПДн должно содержать цель обработки персональных данных (в единственном числе).  Инспектор изучил документы, которые оформляются в рамках корпоративной программы по санаторно-курортному лечению, и увидел, что в соответствующем согласии такая цель не указана.

Что на это ответил суд? В данном случае согласия на обработку ПДн не требуются в обязательном порядке:

«Согласно ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а именно:

• обработка специальной категории персональных данных (подп. 1 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• обработка биометрических персональных данных (ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• трансграничная передача персональных данных (подп. 1 ч. 4 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»)».

Все эти случаи не относятся к делу «Аэрофлота», именно поэтому письменные согласия не требовались. Если же «Аэрофлот» собирает такие документы, их форма не обязательно должна соответствовать требованиям ч.4. ст.9 152-ФЗ.

Вопрос выгоды для субъекта ПДн

Судья также отметил, что согласно п. 5 ч. 1 ст. 6 152-ФЗ, можно ПДн можно обрабатывать без согласия субъекта, если это необходимо для исполнения договора, по которому данный человек является выгодоприобретателем, а также для заключения договора по его инициативе.

Этот принцип распространяется не только на самих сотрудников, но и, например, на членов их семей. Читаем материалы:

«Между ПАО «Аэрофлот» и ООО […] заключен договор по предоставлению услуг санаторно-курортного лечения…, по условиям которого… Исполнитель оказывает услуги работникам ПАО «Аэрофлот» и членам их семей... Согласно ч. 1 ст. 430 Гражданского кодекса РФ договором в пользу третьего лица признается договор, в котором стороны установили, что должник обязан произвести исполнение не кредитору, а указанному или не указанному в договоре третьему лицу, имеющему право требовать от должника исполнения обязательства в свою пользу.

Таким образом, получателями оказываемых ООО […] услуг (выгодоприобретателями) являются работники Общества, члены их семей». Поэтому их ПДн можно обрабатывать без согласия субъекта.

Что это означает для бизнеса

ИТ-разработчики, поставщики онлайн-сервисов, разработчики веб-ресурсов могут не переживать из-за того, сколько они собирают согласий и какие цели там указаны. Если некий ресурс обеспечивает пользователю выгоду, один документ можно использовать, чтобы получить согласия для множества целей обработки.

Администраторам кадровых и бухгалтерских систем не нужно отсчитывать пять лет с даты увольнения, чтобы вовремя удалить данные сотрудника. Это не только избавит ИТ-специалистов от некоторой части работы, но и упростит администрирование таких систем, где изменение базы данных может вызвать сбой.

Компании получают защиту от риска неприятных ситуаций с клиентами, которые могут отозвать одно согласие из множества и продолжать пользоваться услугами. И в целом теперь будет проще работать, поскольку бизнес сможет без опаски оформлять единое согласие и не опасаться штрафов.