Назад

Аэрофлот vs Роскомнадзор в споре по использованию персональных данных: обзор обстоятельств дела

Новости и аналитика
Постановление Арбитражного суда Московского округа от 30 мая 2022 по делу А40-163911/21-17-1229 выдержало апелляцию и кассацию. Теоретически у Роскомнадзора есть возможность спорить и дальше, но это событие маловероятное. Значит, можно приступать к анализу обстоятельств спора. 

Предыстория 
По результатам проверки Аэрофлота Роскомнадзором были выявлены нарушения в области защиты персональных данных (ПД). Внимание проверяющего органа привлекло следующее: Аэрофлот обрабатывал ПД бывших работников без их согласия, а также передавал их данные третьим лицам. 

Аргументация Аэрофлота 
Позиция Аэрофлота была последовательна: 
  • Во-первых, бывший работодатель обязан отвечать на запросы ПФР, в том числе и на протяжении 5 лет после увольнения сотрудника (и такие запросы у Аэрофлота были);
  • Во-вторых, согласие работников (в том числе и бывших) на обработку данных не требовалось, так как данные их обрабатывались в целях исполнения договоров (а именно ДМС и договоров на санаторно-курортное лечение), а такая обработка вообще не требует согласия работника. 
  • В-третьих, даже если такое согласие и требовалось, то получать его в письменном виде авиакомпания обязана не была.

Выводы суда
Суд пришел к следующим полезным выводам: 
  • В законодательстве нет обязанности переводить на архивное хранение все кадровые документы. Поэтому нет ничего противозаконного в том, чтобы хранить в информационных системах ПД бывших сотрудников. 
  • ДМС и договоры на санаторно-курортное лечение – это т.н. «договоры в пользу субъекта персональных данных». Иными словами, их исполнение позволяло обрабатывать ПД сотрудников без их согласия. 
  • Обработка таких данных возможна без получения письменного согласия, лишь в силу коллективного трудового договора (тем более, что речь не идет об обработке биометрических или специальных категориях данных и не о трансграничной передаче ПД).

Почему это важно?
Еще совсем недавно Роскомнадзор и суды исходили из того, что, например, заключая договор на обучение с субъектом ПД, дополнительно требовалось получение его согласия на обработку его данных. Это потому, что такой договор якобы не был «договором в пользу субъекта ПД», потому что бенефициаром такого договора была организация, а не сам обучаемый. 

В деле же Аэрофлота маятник качнулся, и договор на санитарно-курортное лечение и ДМС были признаны «договорами в интересах субъектов ПД». Заключая такие договоры, работодатель уже не должен получать согласие своего работника на обработку ПД.