Публикации

Законодательство о персональных данных в Российской Федерации уже давно стало предметом бурных обсуждений среди практикующих юристов и бизнес-сообщества. Особую актуальность тематика персональных данных приобрела после ужесточения административной ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – "Закон о персональных данных"), в частности с вступлением с 01 июля 2017 г. в силу поправок в статью 13.11 КоАП РФ[1]. 

Корпоративная деятельность неразрывно связана с получением и обработкой персональных данных. Так, например, хозяйственное общество обязано предоставлять по запросу акционера документы общества, которые могут содержать в числе прочего персональные данные. Другим примером может быть раскрытие информации о крупных акционерах, членах совета директоров общества на официальном сайте компании, где могут фигурировать персональные данные. Наконец, обращение к родственникам с целью сбора и передачи обществу информации о юридических лицах, в которых заинтересованные лица, их супруги, родители, дети, полнородные и неполнородные братья и сестры и (или) их подконтрольные организации занимают должности.

Наиболее часто используемым основанием для обработки персональных данных является согласие субъекта. Вместе с тем оно требуется далеко не всегда. Закон о персональных данных предусматривает несколько исключений, когда получение согласия субъекта на обработку персональных данных не требуется. Эти исключения предусмотрены в статье 6 Закона о персональных данных, которая содержит условия обработки таких данных.

В сфере корпоративного управления наиболее часто используются следующие два исключения, когда при обработке персональных данных согласие субъекта не требуется:

1) Обработка персональных данных, подлежащих раскрытию или опубликованию по закону (подп. 11 ч. 1 ст. 6);

2) Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6).

Далее будут более подробно прокомментированы указанные исключения.

Обработка персональных данных, подлежащих раскрытию или опубликованию по закону

Чаще всего в рамках корпоративного управления персональные данные раскрываются в целях соблюдения требований законодательства. Так, например, персональные данные членов совета директоров раскрываются при публикации годовых отчетов акционерного общества в соответствии со статьей 92 Федерального закона от 26.12.1995 № 208-ФЗ "Об акционерных обществах" (далее – Закон об акционерных обществах). Сведения об аффилированных лицах акционерного общества раскрываются в соответствии с главой 73 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг^[2]. Члены совета директоров предоставляют акционерному обществу информацию о занятии ими, их супругами, родителями, детьми, братьями и сестрами, усыновителями или усыновленными должности в органах управления другого юридического лица согласно пункту 2 части 1 статьи 82 Закона об акционерных обществах. Возникает вопрос, нужно ли в данном случае получать согласие субъекта на обработку его персональных данных?

Здесь действует следующее правило: согласие субъекта персональных данных не требуется при соблюдении следующих условий:

1. Условие 1. Если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом[3]; или

2. Условие 2. Если обработка персональных данных необходима для осуществления и выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством Российской Федерации[4].

Указанные условия Закона о персональных данных идут "плечом к плечу", и можно смело говорить о том, что в отсутствие условия 1 оператор мог бы обрабатывать персональные данные, подлежащие обязательному опубликованию или раскрытию, руководствуясь условием 2, – т.е. для осуществления и выполнения функций, возложенных на него законодательством. Обратим, однако, внимание на то, что в отличие от условия 1, где речь идет о соблюдении федерального закона, в условии 2 используется понятие "законодательство Российской Федерации".Следовательно, в соответствии с данным условием возможна обработка персональных данных, если это предусмотрено как федеральными законами, так и постановлениями правительства, а также актами органов власти субъектов или органов местного самоуправления.

Таким образом, следует придерживаться простого правила: если обработка (в том числе предоставление, раскрытие) предусмотрена законодательством Российской Федерации, согласие субъекта персональных данных на такую обработку не требуется. Если обработка персональных данных не предусмотрена законодательством или обработка происходит в объеме большем, чем предусмотрено законодательством, на такую обработку потребуется согласие субъекта.

Разберем данное правило на простых примерах.

Раскрытие сведений о членах совета директоров акционерного общества

Публичные общества, а также непубличные общества с числом акционеров более 50 обязаны раскрывать годовой отчет в соответствии со статьей 92 Закона об акционерных обществах.

Пример 1. Общество раскрыло на своей странице в сети Интернет краткие биографические данные членов совета директоров в объеме, предусмотренном пунктом 70.3 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг (год рождения, сведения об образовании, сведения об основном месте работы).

Согласие членов совета директоров на данное раскрытие информации не требуется, т.к. такое раскрытие предусмотрено законодательством.

Пример 2. Общество раскрыло на своей странице в сети Интернет данные о семейном положении членов совета директоров.

На данное раскрытие требуется согласие членов совета директоров, т.к. такое раскрытие не предусмотрено законодательством.

Пример 3. Общество опубликовало на своей странице в сети Интернет фотографии членов совета директоров.

По общему правилу, для публикации фотографий членов совета директоров требуется согласие, т.к. такая публикация не является обязательной в соответствии с требованиями законодательства. Однако есть обстоятельства, при которых согласие не требуется. Такие обстоятельства указаны в статье 152.1 Гражданского кодекса Российской Федерации, а именно: использование изображения в государственных, общественных или иных публичных интересах; изображение гражданина получено при съемке в местах, открытых для свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования; гражданин позировал за плату.

При этом отсутствие необходимости получения согласия субъекта не означает, что все требования законодательства при обработке персональных данных соблюдены. Общие принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных, должны соблюдаться. К таким принципам относится, в частности, соответствие содержания и объема персональных данных заявленным целям обработки. Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, если цель обработки персональных данных – соответствие требованиям по раскрытию информации, то раскрытие данных, не предусмотренных законом, уже не будет соответствовать заявленной цели.

Если, исходя из изложенного выше правила, требуется получать согласие субъекта на обработку его персональных данных, можно использовать форму согласия, приведенную ниже^[5].

Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6 Закона о персональных данных)

Обработка персональных данных при предоставлении акционерам доступа к документам. Вопрос об обработке персональных данных встает и в случае, когда речь идет о предоставлении персональных данных акционерам/участникам общества в соответствии со ст. 91 Закона об акционерных обществах и ст. 50 Закона об обществах с ограниченной ответственностью. В частности, когда запрос акционера/участника связан с предоставлением персональных данных физических лиц, входящих в органы управления юридического лица, или лиц, вступивших в правоотношения с таким обществом.

В данном случае доступ к документам предоставляется с учетом позиций, изложенных в Информационном письме ВАС РФ от 18.01.2011 № 144 (далее – Письмо). Письмо предусматривает, что участник хозяйственного общества вправе получать информацию о физических лицах, вступивших в правоотношения с таким обществом, если это необходимо для защиты им своих прав и законных интересов. Речь идет, например, о случаях оспаривания участником сделки, заключенной обществом, либо предъявления иска члену совета директоров или генеральному директору с требованием о возмещении причиненных обществу убытков. В таких случаях заявитель вправе запрашивать у общества информацию и документы, содержащие в числе прочего персональные данные физических лиц, необходимые для обращения в суд, со ссылкой на пункт 7 часть 1 статьи 6 Закона о персональных данных.

Позиция, выработанная ВАС РФ, находит свое применение на практике. Так, арбитражный суд Дальневосточного округа признал незаконным отказ налогового органа предоставить копии документов из регистрационного дела по запросу конкурсного управляющего должника[6]. Одним из оснований для отказа стало то, что документы по запросу конкурсного управляющего содержали в себе персональные данные учредителей компании. Отказ налогового органа был признан судом незаконным со ссылкой на то, что обработка персональных данных в данном случае необходима для осуществления прав и законных интересов оператора или третьих лиц. В частности, согласно законодательству о банкротстве конкурсный управляющий исполняет обязанности руководителя должника и действует на основании и во исполнение судебного акта о признании должника несостоятельным (банкротом). В силу этого непредставление по запросу конкурсного управляющего сведений, содержащих среди прочего персональные данные, будет являться нарушением, так как препятствует сбору сведений о должнике и, как следствие, реализации конкурсным управляющим предоставленных законодательством о банкротстве специальных полномочий.

В другом деле арбитражный суд Западно-Сибирского округа признал незаконным отказ налогового органа в предоставлении протокола общего собрания общества с ограниченной ответственностью по причине нарушения прав субъектов персональных данных. Речь шла о предоставлении протокола, содержащего в себе паспортные данные физического лица, который не давал согласия на признание сведений о себе общедоступными. На этом основании налоговый орган ответил отказом, ссылаясь на пункт 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (далее – Закон о государственной регистрации). Согласно Закону о государственной регистрации сведения и документы, содержащиеся в реестре, являются открытыми и общедоступными, за исключением сведений с ограниченным доступом (абз. 2 п. 1 ст. 6 Закона о государственной регистрации). В соответствии с ограничениями законодательства о государственной регистрации данные документа, удостоверяющего личность, могут быть предоставлены лишь по запросу органов государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Однако данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц[7].

Изначально такое ограничение по предоставлению информации и копий документов из реестра было установлено в целях защиты сведений от посягательств лиц, не имеющих никакого отношения к обществу. В случае же, когда речь идет о предоставлении заявителю документов (включая протоколы общего собрания) общества, участником которого он является, основания для отказа отсутствуют. В связи с этим при обращении с запросом информации или корпоративных документов следует, прежде всего, учитывать характер запрашиваемой информации (документа); субъектный состав участников правоотношений; доказательства нарушения прав субъектов персональных данных или отсутствие таких нарушений.

Обработка и условия передачи персональных данных работника. При обработке персональных данных сотрудников необходимо руководствоваться разъяснениями Роскомнадзора[8], которыми установлены следующие правила. Согласие сотрудника на обработку его персональных данных не требуется при соблюдении следующих критериев:

(а) объем данных для обработки соответствует установленным законодательством пределам;

(б) цель обработки данных сотрудника не противоречит трудовому или иному специальному законодательству.

В разъяснениях Роскомнадзора прямо сказано, что согласие работника не требуется при обработке персональных данных в случаях, установленных трудовым договором, коллективным договором или иными правилами внутреннего трудового распорядка. Однако это не означает, что в локальные нормативные акты (далее – ЛНА) можно транслировать все что угодно. Главной задачей здесь является принятие ЛНА в порядке, установленном отраслевым законодательством, и отсутствие противоречий с принципами и положениями действующего трудового законодательства. Только если обработка ПД осуществляется в соответствии с надлежаще разработанными ЛНА и цели обработки соответствуют действующему трудовому законодательству, получать согласие работника нет необходимости.

На практике существует достаточно много примеров, когда работодатель может осуществлять обработку персональных данных без получения согласия сотрудника. Как правило, речь идет о случаях, когда обработка персональных данных необходима для выполнения работодателем, выступающим в качестве оператора, обязанностей, предусмотренных законодательством. В частности, если речь идет об образовательном учреждении, то законодательством предусмотрено, что на его сайте должна размещаться и обновляться информация, включающая в себя в числе прочего персональные данные сотрудников[9]. Например, фамилию, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, информация о персональном составе педагогических (научно-педагогических) работников.

Правила о получении согласия работника на обработку его персональных данных не применяются, когда речь идет о передаче персональных данных третьим лицам в целях предотвращения угрозы для жизни или здоровья сотрудника. Кроме того, трудовое законодательство предусматривает передачу персональных данных сотрудника в Пенсионный фонд и Фонд социального страхования без согласия работника со ссылкой на ст. 22 Трудового кодекса Российской Федерации. Наконец, законодательство предусматривает передачу персональных данных сотрудника без его согласия в налоговые органы, профсоюзы и военные комиссариаты или по мотивированному запросу прокуратуры и правоохранительных органов[10].  

Рекомендации

Анализ изложенных выше примеров и комментариев законодательства позволяет предложить следующие рекомендации при обработке персональных данных в сфере корпоративного управления.

Во-первых, руководствоваться правилом о том, что если обработка персональных данных предусмотрена законодательством, то согласие субъекта на обработку не требуется. Вместе с тем оператору персональных данных следует проверять и соблюдать, в каком объеме законодательство предусматривает раскрытие персональных данных. В противном случае может потребоваться согласие на обработку.

Во-вторых, операторам рекомендуется обращать внимание на принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных. Одним из принципов, на который стоит обратить особое внимание при обработке – соответствие содержания и объема персональных данных заявленным целям обработки. Велика вероятность, что такие принципы будут толковаться в пользу субъекта персональных данных как более слабой и уязвимой стороны по сравнению с оператором.

В-третьих, при обращении акционера/участника общества с запросом об ознакомлении с документами общества, которые могут содержать персональные данные, следует учитывать характер и объем запрашиваемой информации/документа, а также статус лица, направившего запрос.

Наконец, общей рекомендацией может быть предварительно оценивать риски нарушения прав акционеров/участников общества при отказе в предоставлении информации/документов с одной стороны и риски нарушения прав субъектов персональных данных при раскрытии информации/документов, содержащих эти данные. Попытка оценить риски и взвесить плюсы и минусы в случае отказа или раскрытия персональных данных в корпоративном управлении позволит оператору персональных данных избежать ответственности или как минимум выбрать меньшее из зол.

[1] См. подробнее: Жердина С.Ю. Ответственность за нарушение требований ФЗ "О персональных данных", Журнал "Акционерное общество" №08 (159), август 2017, С. 20-24. 

[2] Утверждено Банком России 30.12.2014 № 454-П.

[3] Согласно пункту 11 части 1 статьи 6 Закона о персональных данных.

[4] Согласно пункту 2 части 1 статьи 6 Закона о персональных данных.

[5] Приведена общая форма согласия, которую следует адаптировать для конкретных нужд.

[6] Постановление Арбитражного суда Дальневосточного округа от 12.12.2016 № Ф03-5265/2016 по делу № А73-1619/2016.

[7] См.: Постановление Арбитражного суда Западно-Сибирского округа от 24.03.2017 № Ф04-439/2017 по делу № А45-10886/2016.

[8] Разъяснения Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве"//СПС КонсультантПлюс.

[9] См. Правила размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденные постановлением Правительства Российской Федерации от 18.04.2012 № 343.

[10] См.: ст. ст. 17, 19 Федерального закона от 12.01.1996 № 10-ФЗ "О профессиональных союзах, их правах и гарантиях деятельности".