Суд отклонил иск «Роскомсвободы» к мэру Москвы из-за указа, обязывающего работодателей передавать данные сотрудников, переведенных на удаленку. В мэрии настаивают, что по номеру телефона или авто нельзя установить владельца
Московский городской суд отклонил иск организации «Роскомсвобода» об оспаривании указа мэра Москвы Сергея Собянина, по которому столичных работодателей обязали еженедельно направлять в мэрию данные о сотрудниках на удаленке. Об этом сообщили РБК в «Роскомсвободе» и подтвердили в пресс-службе Мосгорсуда.
Иск от лица организации подали Фонд развития цифровых прав и юрист Саркис Дарбинян, ответчиками были Собянин и правительство Москвы.
«Как мы узнали из слов представителя мэра Москвы, указанные данные могут храниться вечно, обрабатываться любым способом, в том числе передаваться третьим лицам, так как мэрия относится к ним как к обычным идентификаторам, не требующим защиты прав и интересов субъектов этих данных», — сказал Дарбинян РБК. Он добавил, что не удивлен и планирует обжаловать решение инстанции.
РБК отправил запрос в мэрию Москвы.
Какие данные мэрия получает от работодателей
В октябре Собянин обязал работодателей в Москве перевести на удаленную работу не менее 30% сотрудников, а также всех, кто старше 65 лет и имеет хронические заболевания. Через несколько дней мэр дополнил указ требованием к организациям еженедельно через личный кабинет на сайте правительства Москвы предоставлять следующие данные переведенных на удаленку сотрудников:
- номера мобильных телефонов,
- номера электронных карт «Тройка» и «Стрелка»,
- номера социальных карт, проездных билетов,
- номера автомобилей.
За невыполнение требований предусмотрены штрафы (от 100 тыс. руб. для юрлиц). В департаменте информационных технологий мэрии заявляли, что перечисленные данные без указания ФИО или иных сведений, позволяющих установить личность гражданина, не считаются персональными. В апреле суд уже отклонял из-за личных данных москвичей, которые власти Москвы собирали по время пандемии.
В иске «Роскомсвободы» (есть у РБК) говорится, что эти требования нарушают права и интересы субъектов персональных данных, а также трудовое законодательство. Так, закон «О персональных данных» предусматривает, что их обработка «должна ограничиваться достижением конкретных, заранее определенных и законных целей». Мэрия же не конкретизировала цель сбора сведений о работниках (и вопрос об обоснованности этой меры не был разрешен), а также не создала механизм подтверждения, что данные работников могут быть использованы лишь в целях, для которых они сообщаются, считают истцы.
Трудовой кодекс предусматривает сбор и передачу данных работника без его согласия, только если речь идет «о предупреждении угрозы его жизни и здоровью», отмечают в организации. При этом лица, получающие персональные данные сотрудников от работодателя, обязаны обеспечить режим секретности (конфиденциальности). О создании такого режима для хранения данных работников на удаленке в указе ничего не говорится, подчеркнули в «Роскомсвободе». Кроме того, указом не определялась организация — оператор сведений о работниках, и это, по мнению «Роскомсвободы», нарушает безусловное право граждан на доступ к своим данным и на то, чтобы потребовать их уточнения, блокировки или уничтожения, если они собраны с нарушениями.
Данные, которые требует мэрия, в полной мере подпадают под определение персональных данных: они позволяют косвенно установить владельца, в том числе чтобы «повлиять на его поведение» или «принять в отношении него юридически значимые решения» — оштрафовать за нарушение режима самоизоляции, отследить по геолокации или заблокировать возможность проезда в общественном транспорте, говорится в заключении специалиста в области защиты персональных данных Елены Себякиной, которое истцы попросили приобщить к материалам иска.
Представители мэрии (их возражения на иск есть у РБК) в суде заявляли, что требования Собянина отвечают законам «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» и «О санитарно-эпидемиологическом благополучии населения»: согласно им, субъекты России уполномочены принимать меры для защиты людей. В правительстве города согласились, что указ не требует получать согласие каждого работника на сбор данных — в этом нет необходимости, когда речь идет о «выполнении возложенных законодательством Российской Федерации на оператора (работодателя) функций, полномочий и обязанностей», подчеркнули ответчики.
Данные, собираемые мэрией с работодателей, не являются персональными: они не позволяют определить, какому гражданину принадлежат, утверждают в мэрии, полагая, что требования закона «О персональных данных» на них не распространяются.
Целью указа служит не идентификация работников, переведенных на дистанционную работу, а «контроль и координация» усилий по борьбе с коронавирусом, утверждают ответчики. Так, если гражданин, переведенный на удаленку, все-таки придет на место работы, никакой ответственности для него не наступит (в отличие от его работодателя, подлежащего административной ответственности), указывают в мэрии. Ограничительные меры «носят исключительно временный характер и регулярно пересматриваются на предмет соответствия текущей ситуации», а также «соответствуют мировому опыту», убеждены в правительстве Москвы.