Библиотека управления

Защита персональных данных участников корпоративных отношений

Михайлюк И.В., Белова В.Н. ООО «Юридическая фирма «ВЛАСОВ и ПАРТНЕРЫ»
Журнал «Акционерное общество: вопросы корпоративного управления», №9 за 2012 год

Акционерное общество в процессе осуществления своей деятельности сталкивается с необходимостью обработки персональных данных1 не только своих работников, но и особой категории лиц, с которыми общество также находится в постоянных отношениях, — его акционеров и членов органов управления и контроля. Несмотря на широкое освещение в последнее время темы обработки персональных данных, вопросы защиты персональных данных участников корпоративных отношений остаются наименее проработанными.

Любое акционерное общество в силу требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон, Закон о персональных данных) обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

В целом мероприятия по защите персональных данных можно разделить на две большие подгруппы: меры по внутренней и внешней защите персональных данных. К мероприятиям по внутренней защите персональных данных относятся следующие действия общества:

  • ограничение и регламентация должностей, предполагающих доступ к персональным данным;
  • назначение ответственного лица, обеспечивающего исполнение обществом законодательства в рассматриваемой сфере;
  • утверждение перечня документов, содержащих персональные данные;
  • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
  • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами, систематическая проверка знаний работников, обрабатывающих персональные данные, требований нормативных документов по защите конфиденциальных данных;
  • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
  • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
  • утверждение порядка уничтожения информации;
  • выявление и устранение нарушений требований по защите персональных данных;
  • профилактическая работа с сотрудниками по предупреждению разглашения персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие как:

  • введение пропускного режима, порядка приема и учета посетителей;
  • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и другие.

Остановимся более подробно на некоторых мероприятиях по защите персональных данных, имеющих особое значение применительно к сфере корпоративных отношений.

Определение перечня документов, содержащих персональные данные

В соответствии со статьей 3 Закона персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. Исходя из приведенного определения, в сфере корпоративных отношений такие сведения содержатся в следующих документах:

  • анкета акционера;
  • журнал регистрации акционеров, прибывших на общее собрание;
  • список лиц, имеющих право участвовать в общем собрании акционеров;
  • заявления, запросы акционеров в общество;
  • доверенности на лиц, уполномоченных акционерами участвовать в общем собрании акционеров;
  • бухгалтерские документы (например, платежные поручения могут содержать сведения о счетах акционеров, на которые перечисляются дивиденды);
  • протоколы общих собраний и собраний совета директоров;
  • ежеквартальные отчеты;
  • годовые отчеты (в них содержатся сведения о членах совета директоров (наблюдательного совета), единоличном исполнительном органе, членах коллегиального исполнительного органа, в том числе их краткие биографические данные, доля их участия в уставном капитале и доля принадлежащих им обыкновенных акций);
  • списки аффилированных лиц;
  • сообщения о существенных фактах;
  • документы, полученные или составленные обществом в рамках трудовых правоотношений с директором общества: трудовой договор, документы об образовании, копия паспорта, личная карточка № Т-2, трудовая книжка, копии свидетельств о заключении брака, рождении детей, документы воинского учета, справка о доходах с предыдущего места работы, документы обязательного пенсионного страхования, приказы по личному составу в отношении директора общества.

Указанный перечень документов не является исчерпывающим, каждое общество вправе самостоятельно расширить его с учетом специфики своей деятельности. Составление подобного перечня необходимо для установления адекватного режима доступа к документам, содержащим персональные данные.

Разработка локальных нормативных актов, регламентирующих вопросы защиты персональных данных участников корпоративных отношений

Несмотря на то, что Законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в обществе:

  1. Общий документ, определяющий политику акционерного общества в отношении обработки персональных данных, например, положение о персональных данных2. В указанный локальный акт рекомендуется включить следующие пункты:
    • цели и задачи защиты персональных данных;
    • перечень документов и сведений, содержащих персональные данные;
    • сведения, относящиеся к персональным данным (паспортные данные, телефоны, размер оплаты труда и т. д.);
    • общие требования при обработке персональных данных и гарантии их защиты;
    • существующий режим организации доступа к персональным данным;
    • порядок ознакомления работников с имеющимися у работодателя персональными данными;
    • описание всех процессов обработки персональных данных;
    • порядок работы с персональными данными (сбор, обработка, хранение, уничтожение);
    • срок хранения персональных данных;
    • правила передачи и уничтожения персональных данных;
    • взаимные права и обязанности работников и работодателя в сфере передачи, хранения и обработки персональных данных;
    • ответственность за нарушение норм, регулирующих обработку и защиту персональных данных и правил работы с ними.

    Работники акционерного общества должны быть под роспись ознакомлены с данным положением. Факт ознакомления с положением может фиксироваться как в тексте трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (например, в самом положении на листе ознакомления с ним).
  2. Список лиц, обрабатывающих персональные данные3. Применительно к акционерному обществу в этот перечень, прежде всего, входит корпоративный секретарь либо лицо, исполняющее его функции.
  3. Приказ о назначении сотрудника, ответственного за организацию обработки персональных данных4. Указанное лицо должно осуществлять внутренний контроль за соблюдением обществом и его работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения работников положения законодательства о персональных данных, локальных актов по вопросам их обработки, требований к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов.
  4. Положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных5. В данном положении рекомендуется описывать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации — паролей, антивирусных программ, хранение персональных данных обособленно от других сведений на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.).
  5. Локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений6. Так, в обществе может быть разработан план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и проверок работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

1. Утверждение требований к помещению, где хранятся персональные данные.

Конкретные требования к оборудованию помещения, где хранятся персональные данные, законодательством не установлены. Однако, исходя из аналогии закона, учитывая положения Трудового кодекса РФ, во избежание несанкционированного доступа к персональным данным необходимо оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск в данные помещения.

2. Программная защита информационной системы общества.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности персональных данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденном Постановлением Правительства Российской Федерации от 17.11.2007 г. № 781. В том числе следует ограничить доступ к информации в информационных системах (установить пароли и т. д.). Целесообразно ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, 2-уровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливать администратором баз данных и администратором сети соответственно и сообщать индивидуально сотрудникам, имеющим доступ к персональным данным, при этом как можно чаще менять пароли (например, ежемесячно).

3. Ведение журнала учета работы с персональными данными.

В целях соблюдения режима конфиденциальности персональных данных целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам, в котором следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Проблема защиты персональных данных при раскрытии информации и ее предоставлении по запросам акционеров

Обозначенная проблема является одним из наиболее сложных вопросов, возникающих при обеспечении защиты персональных данных в акционерном обществе. Ее возникновение обусловлено столкновением разнонаправленных интересов двух категорий субъектов: с одной стороны, субъектов персональных данных, заинтересованных в обеспечении их конфиденциальности, с другой — интересов акционеров, заинтересованных в получении наиболее полной информации об обществе.

Задача акционерного общества при этом — обеспечить баланс интересов указанных лиц, исходя из предписаний закона.

1. Защита персональных данных участников корпоративных отношений при предоставлении информации по запросам акционеров.

Анализ действующего законодательства и складывающейся судебной практики позволяет сформулировать общее правило предоставления акционерам информации, содержащей персональные данные: наличие в документах конфиденциальной информации не может являться основанием для отказа в предоставлении документов по запросам акционеров, поскольку согласно абзацу третьему пункта 2 статьи 67 Гражданского кодекса Российской Федерации обязанности общества предоставлять такую информацию корреспондируется обязанность участников хозяйственного общества не разглашать конфиденциальную информацию о деятельности общества.

Одновременно для целей защиты режима конфиденциальности общество вправе брать у акционеров расписки, изымать из документов соответствующие данные и применять иные подобные меры (см., например, Постановление ФАС Московского округа от 16.02.2012 г. по делу № А40-32831/11-62-288).

При этом, исходя из п. 15 Информационного письма Президиума ВАС РФ от 18.01.2011 г. № 144 «О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ», в силу пункта 2 статьи 6 Закона о персональных данных не требуется согласия физических лиц, вступивших в правоотношения с обществом, на предоставление участнику хозяйственного общества документов, содержащих персональные данные таких физических лиц (фамилию, имя, отчество и место жительства физического лица, иную информацию, необходимую для обращения в суд в соответствии с требованиями процессуального законодательства, сведения о размере вознаграждения физического лица и т. д.), если эта информация необходима участнику для целей защиты своих прав и законных интересов, например оспаривания сделки, заключенной с этим лицом, либо обращения в суд с иском к члену совета директоров (наблюдательного совета) общества, единоличному исполнительному органу общества, временному единоличному исполнительному органу общества, члену коллегиального исполнительного органа общества (правления, дирекции), равно как и к управляющему о возмещении причиненных обществу убытков.

Тем не менее, в судебной практике встречаются случаи, когда суды, принимая позицию обществ, а не акционеров, иначе квалифицируют соотношение гражданского законодательства и Закона о персональных данных.

Правовое обоснование указанной позиции сводится к следующему:

  • законодательство о защите персональных данных является специальным по отношению к нормам ФЗ «Об акционерных обществах»,
  • поскольку в силу статьи 6 Закона обработка персональных данных осуществляется только с согласия субъекта персональных данных, предоставление акционеру информации, содержащей персональные данные, возможно только с согласия их субъекта.

Наиболее ярким примером выражения такой позиции являются случаи запроса акционерами трудового договора с директором общества.

Так, Решением Арбитражного суда города Москвы от 30.09.2011 г. по делу № А4079903/2011 суд признал обоснованным отказ общества предоставить акционерам копию контракта с председателем правления, сославшись на установленный статьей 88 Трудового кодекса Российской Федерации запрет на передачу персональных данных работника третьим лицам.

И все-таки, несмотря на наличие отдельных судебных актов, отказывающих акционерам в получении конфиденциальной информации, в настоящее время очевидным образом прослеживается превалирующая направленность судебной практики в защиту прав акционеров на информацию.

В качестве яркого примера такой направленности следует привести дело, совсем недавно рассмотренное Президиумом Высшего Арбитражного Суда Российской Федерации. Существо указанного дела сводится к следующему.

Акционеры, владеющие 38,459% обыкновенных акций ОСАО «Ингосстрах» (далее — общество), обратились в общество с требованием о предоставлении, в том числе, копии действующего трудового договора, заключенного с генеральным директором.

В связи с тем, что копии действующего трудового договора, заключенного с генеральным директором, акционерам не были представлены, акционеры обратились в Федеральную службу по финансовым рынкам РФ (далее — ФСФР) с заявлением о привлечении общества к административной ответственности. ФСФР привлекло общество к административной ответственности, предусмотренной частью 1 статьи 15.19 КоАП РФ, за непредставление запрошенной акционерами копии трудового договора, заключенного с генеральным директором.

Не согласившись с решением и предписанием, общество обратилось в арбитражный суд. Суд первой инстанции, удовлетворяя заявленное требование, исходил из того, что суду не представлено доказательств, подтверждающих, что копия трудового договора необходима акционерам для целей защиты своих прав и законных интересов. Суды апелляционной и кассационной инстанции согласились с правовой позицией суда первой инстанции.

Однако Судебная коллегия по гражданским делам Высшего Арбитражного Суда Российской Федерации сочла неправильным столь однозначное решение вопроса. В связи с тем, что трудовой договор мог быть представлен акционерам без открытия персональных данных директора общества, и данным договором могли быть существенно нарушены интересы акционеров общества (в частности, существенным завышением оплаты трудового контракта), дело было передано в Президиум ВАС РФ для решения вопроса о пересмотре судебных актов в порядке надзора (Определение ВАС РФ от 27.02.2012 г. № ВАС-16803/11).

22.05.2012 г. Президиум ВАС РФ судебные акты первой, апелляционной и кассационной инстанций по делу №А40-43149/11-121-290 отменил и отказал ОСАО «Ингосстрах» в удовлетворении заявленного требования.

Мотивированное постановление по данному делу в настоящее время не опубликовано. Однако из позиции Судебной коллегии ВАС РФ, передавшей дело в надзор, понятно, что, по мнению высшей судебной инстанции, наличие в документе персональных данных не должно использоваться акционерными обществами в качестве легального способа уклонения от обеспечения прав акционеров на информацию. Более того, подобное мнение полностью согласуется с правовой позицией Конституционного Суда Российской Федерации, изложенной в Определении от 18.01.2011 г. № 8-О-П, в соответствии с которой акционерное общество вправе установить в рамках действующих предписаний адекватный режим доступности конфиденциальной информации.

На практике это означает, что акционерное общество имеет возможность предпринять комплекс мер, которые бы, с одной стороны, обеспечивали сохранение конфиденциальности информации, но, с другой стороны, — обеспечивали права уполномоченных субъектов на получение информации об обществе.

В соответствии с таким режимом обществу целесообразно:

  • разработать систему локальных актов, определяющих состав конфиденциальной информации и порядок доступа к ней;
  • предусмотреть в указанных локальных актах конкретные меры по защите персональных данных, которые бы одновременно обеспечивали права акционеров на получение информации о деятельности общества (так, общество вправе в локальном акте установить требование о подписании акционером расписки о неразглашении персональных данных при выдаче ему соответствующих документов).

2. Обеспечение защиты персональных данных участников корпоративных отношений при обязательном раскрытии информации.

Множество вопросов, связанных с защитой персональных данных участников корпоративных отношений, возникает в связи с обязательным раскрытием информации.

Главный вопрос — о необходимости получения согласия участников корпоративных отношений на обработку их персональных данных, подлежащих обязательному раскрытию в силу требований законодательства.

Ответ на данный вопрос может быть сформулирован исходя из положений Закона о персональных данных. Согласно подпунктам 2, 11 части 1 статьи 6 Закона о персональных данных обработка персональных данных без согласия субъекта персональных данных допускается:

  • если обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей,
  • если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Следовательно, при раскрытии акционерным обществом информации, содержащей персональные данные (годового отчета, ежеквартального отчета, сообщения о существенных фактах, списка аффилированных лиц и иных сведений), во исполнение обязательных требований законодательства письменное согласие членов совета директоров, акционеров, членов коллегиального органа управления, единоличного исполнительного органа, иных лиц получать не требуется.

Однако особенно отметим, что в случае, если принятая в обществе информационная политика предусматривает обработку и раскрытие большего объема персональных данных, чем предусмотрено законом, полагаем, что общество обязано получить письменное согласие физических лиц на обработку соответствующих персональных данных. Также считаем необходимым указать, что, по нашему мнению, в случае обязательного раскрытия информации, предусмотренного законом, субъект персональных данных не вправе запретить обществу осуществить их обработку и обнародование. Подобный запрет на предоставление персональных данных будет противоречить приведенным выше нормам Закона о персональных данных и может быть расценен как злоупотребление правом, не подлежащее судебной защите.

Обжалование незаконных действий акционерного общества по обработке персональных данных

Статья 17 Закона закрепляет право субъекта персональных данных на обжалование действий или бездействия оператора (то есть лица, осуществляющего обработку персональных данных). В частности, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных (в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзоре) или в судебном порядке. Субъект персональных данных также имеет право на защиту своих прав и законных интересов, в том числе посредством возмещения убытков и (или) компенсации морального вреда.

В настоящее время иски по общим фактам незаконной обработки персональных данных единичны. Иски о незаконном использовании персональных данных в сфере корпоративных отношений встречаются еще реже. Авторы имеют возможность привести один из таких судебных прецедентов.

В. обратился в суд к ОАО «Регистратор НИКойл» с иском об обязании не чинить препятствий в осуществлении предоставленных ему Федеральным законом «Об акционерных обществах» прав, взыскании компенсации морального вреда в размере 20 000 руб., ссылаясь на следующее.

Истец, являясь акционером ОАО «Банк Уралсиб», 3 декабря 2008 года прибыл в офис ОАО «Регистратор НИКойл» для передачи заявлений и бюллетеней к внеочередному общему собранию акционеров ОАО «Банк Уралсиб», где работники ответчика произвели сканирование паспорта истца в электронную базу данных без его согласия и, кроме того, со стороны ответчика имели место как оскорбительное поведение, так и чинение препятствий в передаче бюллетеней к внеочередному общему собранию акционеров ОАО «Банк Уралсиб».

По данному факту истец обратился в правоохранительные органы, и по результатам рассмотрения заявления 22 января 2009 года было вынесено постановление об отказе в возбуждении уголовного дела.

В ответ на обращение истца Управлением Россвязькомнадзора по г. Москве и Московской области было сообщено, что в отношении ОАО «Регистратор НИКойл» было проведено внеплановое мероприятие по контролю соблюдения обязательных требований и норм Закона о персональных данных по изложенным истцом фактам.

Во исполнение предписания Управления Россвязькомнадзора по г. Москве и Московской области об уничтожении персональных данных истца, полученных без его согласия, ответчик произвел уничтожение отсканированного образца паспорта, о чем был составлен акт об уничтожении активов.

Суды первой и второй инстанций отказали истцу в удовлетворении заявленных требований, поскольку в ходе судебного разбирательства факта нарушения ответчиком прав истца суды не установили. В частности, применительно к вопросу о незаконной обработке персональных данных суды указали: снятие копии с паспорта В. не свидетельствует о том, что персональные данные были использованы в целях причинения ему вреда, к этим данным получен доступ третьих лиц либо иным неправомерным способом использованы персональные данные (Решение Мещанского районного суда г. Москвы от 10.02.2011 г., Определение Московского городского суда от 04.08.2011 г. по делу № 33-24514).

Приведенный судебный акт позволяет авторам статьи дополнительно сформулировать следующие рекомендации:

  • первичная и оперативная защита прав субъекта персональных данных может быть обеспечена во внесудебном порядке, посредством обращения в специально уполномоченный государственный орган — Роскомнадзор;
  • при наличии имущественных претензий к оператору субъект персональных данных может обратиться в суд, однако в этом случае он должен доказать не только факт неправомерности обработки данных, но и факт причинения ему вреда, а также обосновать его размер.

В заключение отметим следующее. Постановка вопроса защиты персональных данных физических лиц в разряд одного из важнейших вопросов, подлежащих решению и контролю в деятельности любой организации, является неоспоримым достижением как в развитии действующего законодательства, так и в практике работы специально уполномоченных государственных органов.

При этом следует помнить, что популярное сейчас словосочетание «защита персональных данных» не может использоваться произвольно и применяться обществом в качестве «законного» средства уклонения от исполнения обязанностей по раскрытию и предоставлению информации, возложенных законом на общество. Как было отмечено выше, в своей деятельности акционерное общество должно обеспечить баланс интересов в этом вопросе различных категорий субъектов. Во временных условиях неоднозначной судебной практики эта задача может быть решена силами самого общества посредством установления четких правил и процедур работы с конфиденциальной информацией.


1 Для справки: под обработкой персональных данных Закон о персональных данных понимает действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2 Обязанность по изданию данного локального акта следует из п. 2 ч.1 ст. 18.1 Закона о персональных данных.

3 Обязанность по утверждению данного списка установлена п. 14 Постановления Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

4 Обязанность назначить лицо, ответственное за организацию обработки персональных данных, установлена ст. 22.1 Закона о персональных данных.

5 Обязанность по изданию данного локального акта следует из п. 3 ч.1 ст. 18.1 Закона о персональных данных.

6 Обязанность по изданию данного локального акта следует из п. 2 ч.1 ст. 18.1 Закона о персональных данных.