Что учесть при обработке персданных: практика «Аэрофлота»

Некоторое время назад Арбитражный суд Москвы выложил в публичный доступ текст решения по делу между «Аэрофлотом» и Роскомнадзором. Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, объясняет, почему большинству российских компаний стоит внимательно вчитаться в эти материалы.

В прошлом году Роскомнадзор проводил в «Аэрофлоте» плановую проверку, по итогам которой вынес несколько предписаний на устранение выявленных нарушений. Однако перевозчику  удалось оспорить предписания в судебном порядке. Разберём несколько вопросов, которые особенно часто фигурируют в рамках организации обработки персональных данных

Можно ли хранить данные уволенных сотрудников?

Ранее, в случае наличия в системах сведений о работниках, которые были уволены более пяти лет назад, компаниям грозили штрафы. Логика следующая: если человек перестаёт быть работником, компании больше не нужно хранить и обрабатывать его данные. В течение трёх лет информацию могут затребовать налоговые органы, ещё 1-2 года можно «оставить» на всякий случай. Однако, по практике Роскомнадзора, если и через пять лет у компании на серверах остаются ПДн сотрудника, то это относилось к злоупотреблению.

Теперь в этом вопросе можно опираться на Приказ Росархива – читаем решение (выделение наше):

«...Приказом Росархива от 20.12.2019 №236 утвержден Перечень типовых

управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения...

Согласно п. 1.2 раздела II Перечня перечень включает типовые управленческие архивные документы, образующиеся в процессе деятельности государственных органов, органов местного самоуправления и организаций при осуществлении однотипных (общих для всех или большинства) управленческих функций, независимо от их организационно-правовых форм и от формы собственности, с указанием сроков хранения.

При этом документы/сведения кадрового обеспечения... подлежат хранению в организации в течение 50/75 лет.

В соответствии с п. 4.3 Инструкции сроки временного хранения документов..., установленные Перечнем, должны соблюдаться всеми организациями независимо от их организационно-правовых форм и форм собственности. После истечения сроков временного хранения документы подлежат уничтожению. Уничтожение документов до истечения сроков их временного хранения запрещается».

Далее суд уточняет, что документы можно хранить как в бумажном, так и в электронном виде, а ПДн уволенных работников должны сохраняться в течение нормативно установленных сроков хранения документов и сведений.

Кроме того, уничтожение архивных документов не позволяет компаниям обрабатывать запросы от органов Пенсионного фонда РФ при назначении пенсий работникам, в том числе бывшим. Как указано в решении, «периоды, которые затрагивают запросы органов Пенсионного фонда РФ, могут быть любыми, в том числе свыше 5 лет с момента увольнения».

Нужно ли собирать отдельные согласия на обработку ПДн для каждой цели?

Согласно п.4 ст.9 Федерального закона №152-ФЗ «О персональных данных», согласие на обработку ПДн должно содержать «цель» – в единственном числе. Следовательно, на каждую цель нужно оформлять собственное согласие. Это, в частности, позволяет субъекту ПДн отозвать одно согласие и продолжить пользоваться услугами, которые покрываются остальными. При этом согласие берется или обязательно в письменной форме (перечислены случаи, когда это нужно, и требования к такой форме), или в любой произвольной форме.

В случае «Аэрофлота» в списке целей, для которых компания собирала согласия работников, не упоминался сбор данных для ДМС. Таким образом, организация отправляла ПДн сторонним участникам при организации санаторных поездок в рамках этой программы без оформленного согласия работников.

Однако судья указал, что закон ограничивает список случаев, для которых от субъекта ПДн требуется письменное согласие:

«…Согласно ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а именно: обработка специальной категории персональных данных (подп. 1 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»); обработка биометрических персональных данных (ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»); трансграничная передача персональных данных (подп. 1 ч. 4 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»)».

Более того, согласно п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» «обработка персональных данных допускается, если она необходима для исполнения договора, ...выгодоприобретателем... по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем».

Таким образом, если субъект персональных данных в результате некого процесса получит выгоду, с него не нужно собирать письменные согласия. Договоры ДМС как раз относятся к таким, которые обеспечивают работникам выгоду.

А если закон позволяет не собирать согласия, то бумага, которую организация по какой-то причине захотела оформить, не обязана соответствовать требованиям к письменной форме согласия. Следовательно, и целей в таком документе может быть несколько.

Это важно для операторов персданных, особенно для разработчиков ИТ-продуктов и веб-сервисов. Поскольку из этой аргументации следует, что и на сайтах, и в программах, которые обеспечивают пользователю некую выгоду, можно единым документом получить согласия на обработку ПДн сразу для множества целей. 

Почему мы считаем это решение важным

Замечания, которые получил “Аэрофлот” по итогам проверки, знакомы многим российским компаниям. Теперь организации могут использовать материалы разбирательства при аргументации своей позиции.

В частности, упрощается администрирование кадровых данных. Нет необходимости постоянно переписывать базы данных кадровых и бухгалтерских систем, рискуя помешать бизнес-процессам.

Сокращаются операционные издержки – во многих случаях вместо множества согласий теперь можно использовать одно. Снижается риск “потребительского терроризма” – недобросовестные клиенты компаний не смогут отозвать одно согласие из множества и продолжать получать остальные услуги. То же самое относится к сотрудникам, которые покидают компанию со скандалом – они не смогут отозвать согласие и требовать удалить свои данные.

Все это - упрощает работу операторов ПДн и может быть использовано в рамках выстраивания процессов обработки персданных. Остались вопросы? Напишите на pdn@itprotect.ru или используя форму обратной связи.