Аэрофлот vs Роскомнадзор в споре по использованию персональных данных: обзор обстоятельств дела
Новости и аналитика
г.
г.
Постановление Арбитражного суда Московского округа от 30 мая 2022 по делу А40-163911/21-17-1229 выдержало апелляцию и кассацию. Теоретически у Роскомнадзора есть возможность спорить и дальше, но это событие маловероятное. Значит, можно приступать к анализу обстоятельств спора.
Предыстория По результатам проверки Аэрофлота Роскомнадзором были выявлены нарушения в области защиты персональных данных (ПД). Внимание проверяющего органа привлекло следующее: Аэрофлот обрабатывал ПД бывших работников без их согласия, а также передавал их данные третьим лицам.
Аргументация Аэрофлота Позиция Аэрофлота была последовательна:
Во-первых, бывший работодатель обязан отвечать на запросы ПФР, в том числе и на протяжении 5 лет после увольнения сотрудника (и такие запросы у Аэрофлота были);
Во-вторых, согласие работников (в том числе и бывших) на обработку данных не требовалось, так как данные их обрабатывались в целях исполнения договоров (а именно ДМС и договоров на санаторно-курортное лечение), а такая обработка вообще не требует согласия работника.
В-третьих, даже если такое согласие и требовалось, то получать его в письменном виде авиакомпания обязана не была.
Выводы суда Суд пришел к следующим полезным выводам:
В законодательстве нет обязанности переводить на архивное хранение все кадровые документы. Поэтому нет ничего противозаконного в том, чтобы хранить в информационных системах ПД бывших сотрудников.
ДМС и договоры на санаторно-курортное лечение – это т.н. «договоры в пользу субъекта персональных данных». Иными словами, их исполнение позволяло обрабатывать ПД сотрудников без их согласия.
Обработка таких данных возможна без получения письменного согласия, лишь в силу коллективного трудового договора (тем более, что речь не идет об обработке биометрических или специальных категориях данных и не о трансграничной передаче ПД).
Почему это важно? Еще совсем недавно Роскомнадзор и суды исходили из того, что, например, заключая договор на обучение с субъектом ПД, дополнительно требовалось получение его согласия на обработку его данных. Это потому, что такой договор якобы не был «договором в пользу субъекта ПД», потому что бенефициаром такого договора была организация, а не сам обучаемый.
В деле же Аэрофлота маятник качнулся, и договор на санитарно-курортное лечение и ДМС были признаны «договорами в интересах субъектов ПД». Заключая такие договоры, работодатель уже не должен получать согласие своего работника на обработку ПД.