Мосгорсуд отклонил иск РосКомСвободы о недопустимости «удалённой» слежки
Московские власти считают, что сведения о транспортных картах, проездных билетах и личных автомобилях сотрудников на дистанционной работе перестают быть персональными данными, как только работодатель передаёт их на портал мэрии, причём эти данные могут храниться там бессрочно; юристы РосКомСвободы ждут мотивировочное решение и будут его обжаловать.
На днях в Московском городском суде прошло судебное заседание по делу об оспаривании Указа мэра Москвы Сергея Собянина о сборе работодателями и передаче в мэрию личных данных сотрудников, отправленных на «удалёнку». Указ обязывает работодателей передавать данные о сотрудниках в электронном виде с использованием личного кабинета юридического лица, индивидуального предпринимателя на официальном сайте мэра и Правительства Москвы. «РосКомСвобода» считает данный Указ незаконным, поэтому совместно с Фондом развития цифровых прав обратилась в суд с требованием отменить его.
Пункт 2.1 Указа гласит, что передаче подлежат номера мобильных телефонов, регистрационные номера машин, номера социальных карт и проездных. Изначально мэрия хотела получать такие отчёты еженедельно (каждый понедельник), затем требования «смягчили» – если информация о сотрудниках не изменялась, работодатель может больше не подавать отчёт, но эта обязанность вновь станет для него актуальна, если всё же какие-то изменения произошли – свежая информация должна быть предоставлена в день принятия такого решения.
Юристы «РосКомСвободы» считают, что требования мэрии противоречат Трудовому кодексу РФ и федеральным законам о персональных данных и об организации предоставления государственных и муниципальных услуг.
«РосКомСвобода» совместно с Фондом развития цифровых прав оспорят в суде указ Сергея Собянина о слежке за работниками на удалёнке — как нарушающий целый ряд правовых норм, имеющих бóльшую юридическую силу https://t.co/M0Xn7vYXvh
— РосКомСвобода (@RuBlackListNET) October 16, 2020
Так, в законе о персональных данных говорится, что обработка персональных данных должна осуществляться на законной и справедливой основе и должна ограничиваться достижением конкретных, заранее определенных и законных целей. Кроме того, закон запрещает объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, уточняя, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные при этом не должны быть избыточными по отношению к заявленным целям.
Между тем в указе Собянина не установлена цель обработки сведений о работниках, что не позволяет оценить необходимый для достижения этой цели объем персональных данных. Помимо этого, в документе не указано, кто является оператором сведений о работниках. На этом и других основаниях истцы требуют признать недействующим с момента принятия указа пункт о сборе и передаче данных сотрудников работодателями в мэрию Москвы.
Представитель истца – Саркис Дарбинян, ведущий юрист «РосКомСвободы» и управляющий партнёр юридической фирмы Digital Rights Center, на заседании ещё раз озвучил требования иска, добавив, что подача данных в мэрию через портал госуслуг ограничивает формы исполнения Указа для тех, у кого нет возможности сделать это электронно, а для борьбы с распространением коронавируса данная мера избыточна.
Представители мэрии (их возражения на иск есть у РБК) в суде заявляли, что требования Собянина отвечают законам «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» и «О санитарно-эпидемиологическом благополучии населения».
Представитель ответчика на заседании суда сказала, что поскольку «Фонд развития цифровых прав» не предоставил информацию о своих сотрудниках на «удалёнке», то его права и не были нарушены. На что Дарбинян возразил – в случае предоставления таких данных мэрии как третьему лицу без согласия работников были бы нарушены их права и они могли бы подать в суд на работодателя. По его мнению, данный Указ поставил работодателей перед дилеммой: не передавать данные сотрудников и дожидаться штрафа или передавать и дожидаться судебного иска от сотрудников. По словам Дарбиняна, «Фонд развития цифровых прав» информацию о своих сотрудниках, перешедших на удалённую работу, передать не смог потому, что его сотрудники предоставили письменные возражения против передачи своих данных в мэрию.
Представитель ответчика апеллировала к тому, что введённая властями Москвы мера временная, направленная на «минимизацию людей в офисных помещениях», и она соответствует европейским нормам.
Также она озвучила весьма экстравагантное трактование понимания персональных данных. По мнению мэрии, собираемые от работодателей данные – не персональные, а цифровые (номер телефона, транспортной карты, автомобиля). Более того, данные о перемещениях горожан с помощью геолокации по номеру телефона мэрия начала собирать задолго до начала пандемии. Также, по её мнению,
«…сведения о работниках – персональные данные для работодателя, но они перестают ими быть, когда передаются на портал для выполнения указа мэра, и для его исполнения согласие работника не нужно».
.
На вопрос Саркиса Дарбиняна о том, сколько Департамент информационных технологий (ДИТ) Москвы, являющийся оператором обработки данных, будет их хранить, представитель ответчика заявила, что срок их хранения не ограничен, так как «они не являются персональными данными».
Специалист в сфере защиты персональных данных Елена Себякина по просьбе истца подготовила заключение, в котором ответила на вопросы об указе с точки зрения законодательства о персональных данных.
Письменное заключение специалиста в области защиты перс.данных Елены Себякиной
По её мнению, собираемые сведения относятся к персональным данным, а из Указа не ясно – кто является оператором персональных данных и невозможно определить цель сбора и обработки персональных данных, о сборе этих данных необходимо предварительное уведомление и данная обработка является автоматизированной.
Однако представитель мэрии возразила – давать заключения по теме персональных данных может только Роскомнадзор как уполномоченный орган, а судья заявил, что для решения вопроса на этом судебном заседании дополнительная квалификация в сфере персональных данных не требуется.
Суд в итоге иск «РосКомСвободы» и Фонда развития цифровых прав решил отклонить. По итогам заседания Саркис Дарбинян сказал РБК, что решение не стало для него неожиданностью, поскольку ни один нормативный акт мэра Москвы не был отменён Мосгорсудом. Очень жаль, но судьи своими решениями покрывают достаточно сомнительную деятельность мэрии, считает адвокат.
«Остаётся вопрос, что судья напишет в мотивировочной части решения? Особенно учитывая, что и представитель мэрии, и представитель прокуратуры во время слушания пытались изобразить ситуацию таким образом, как будто собираемые данные персональными не являются, и поэтому противоречия с законом «О персональных данных» нет, а все нормы, связанные с правилами сбора, обработки и хранения данных в этом случае неприменимы. Это выглядит странно, если не сказать ужасно, поскольку демонстрирует подход, который выработался у Правительства Москвы в отношении граждан», – добавляет он.
.
Специалист в области защиты персональных данных Елена Себякина, делавшая письменное экспертное заключение, считает, что ДИТ Москвы и Прокуратуры Москвы войдут в историю как специалисты, которые, следуя ошибочным выводам Роскомнадзора, умудряются в 2021 году не признавать идентификаторы персональными данными.
«Даже в отсутствие ФИО, у ДИТ – как оператора информационных систем (не равно оператор персональных данных) – идентификаторы позволяют хоть ему, хоть какому-либо потенциальному злоумышленнику выделить дистанционных работников из массы других горожан для оказания влияния на какой-либо аспект жизнедеятельности. В частности – отслеживания передвижения и нарушения введенных Мэром Москвы ограничений. Игнорирование косвенной определяемости субъекта как критерия для квалификации персональных данных иначе как некомпетентностью представителей ответчика объяснить невозможно», – подчеркнула эксперт.
В беседе с «РосКомСвободой» Саркис Дарбинян заявил, что история с данным судом показывает, как именно Правительство Москвы относится к данным москвичей:
«А относится она к ним, как мы знаем, никак, полагая, что госномера авто и номер мобильника работников, которые надо сливать мэрии, не являются персональными данными. Об этом, собственно, и твердили представили мэра во время слушания по делу. Мол, персональных данных нет, что позволяет хранить их вечно и делать с ними всё, что угодно.
Представители мэрии на голубом глазу утверждали, что это лишь идентификаторы, по которым невозможно никого определить. Как будто не было тех сотен тысяч штрафов, когда людей достаточно точно определяли по геолокации телефона, ЦОДД и подъездным камерам. Прокуратура согласилась с позиций мэра, мол, нарушения Трудового законодательства и законодательства о персональных данных нет. Да и вообще, ни о каких персональных данных речи не идёт.
Естественно, мы не согласны с такой позицией. Если на белое говорить черное, конечно, оно таким не станет, однако это очередная черная страница в российской судебной практике, связанной с защитой частной жизни и персональных данных. Это очень плохая практика для всех, и мы будем пытаться её обжаловать, как только получим решение в полном объёме».
.
«К огромному сожалению всех граждан страны, – говорит Елена Себякина, – сегодняшнее решение суда — прямое следствие доктринального вакуума, порождаемого молчанием ученых, преподавателей и экспертов в области приватности. Либо эндогенностью права, которая вынуждает все ветви власти манипулировать законом, игнорируя конституционные права граждан на приватность и контроль за своими данными».
.
.
.