ПЕРСОНАЛЬНЫЕ ДАННЫЕ В КОРПОРАТИВНЫХ ПРАВООТНОШЕНИЯХ

Для начала обратимся к некоторым определениям, которые дает Федеральный закон от 27.07.2006 г. № 152-ФЗ О персональных данных" (далее по тексту - Закон о персональных данных).

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3).

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3).

Даже буквальное толкование данных определений позволяет любому юристу (да и не юристу) понять, что:

  • во-первых, любое физическое лицо, которое является акционером или участником ООО, членом его совета директоров или коллегиального исполнительного органа либо занимает должность единоличного исполнительного органа, подпадает под признаки субъекта персональных данных;
  • во-вторых, раз юридическое лицо обладает какой-либо информацией о своих акционерах / участниках и членах органов управления, хранит ее и совершает с ней те или иные действия, то оно является оператором персональных данных;
  • в-третьих, к такому юридическому лицу должны применяться положения Закона о персональных данных об их предоставлении и раскрытии, так как оно может вольно или невольно, законно или незаконно предоставить доступ к ним определенному или неопределенному кругу лиц.

Причем изложенное верно не только в отношении самих акционерных обществ, но и в отношении реестродержателей и депозитариев.

Признаки персональных данных в корпоративных правоотношениях

Из характеристики персональных данных видно, что основной их признак - это то, что они относятся к определенному или определяемому физическому лицу. Это означает, что, во-первых, субъектом персональных данных может быть только гражданин; во-вторых, должна иметься возможность абсолютно точно установить гражданина на основании персональных данных.

В настоящее время в теоретических изысканиях[1], посвященных вопросам персональных данных, среди информации о гражданине принято выделять номинативную информацию, то есть ту информацию, которая в совокупности позволяет идентифицировать физическое лицо, но не несет каких-либо иных сведений. К такой информации относят, в частности, фамилию, имя, отчество, дату и место рождения. Распространение номинативной информации не влечет какого-либо вреда для гражданина. Как правило, осведомленность о том, что существует Иванов Иван Иванович, рожденный тогда-то и там-то, не позволяет никак использовать такую информацию.

Другое дело, когда номинативная информация обрабатывается вместе с какими-нибудь конкретными сведениями, как то, например, что Иванов Иван Иванович, рожденный тогда-то и там-то, является акционером АО Ромашка", ему принадлежит столько-то акций и он получил дивиденды в размере *** рублей, особенно если пресловутый Иван Иванович не хотел, чтобы знали о том, что он является акционером и получает дивиденды.

В сфере корпоративных правоотношений к персональным данным следует, видимо, относить разную информацию в зависимости от позиции конкретного физического лица в системе таких отношений.

Если мы говорим об акционерах / участниках, то к персональным данным необходимо отнести:

  • факт того, что лицо является участником / акционером общества;
  • размер его доли в уставном капитале / количество принадлежащих лицу акций;
  • основание приобретения доли / акций;
  • размер распределенной лицу прибыли / полученных дивидендов;
  • факт голосования определенным образом на собраниях участников / акционеров;
  • факт прекращения статуса участника / акционера и основания такого прекращения[2].

Если мы говорим о лицах, участвующих в управлении обществом (члены совета директоров, члены коллегиального исполнительного органа, единоличный исполнительный орган), то к персональным данным следует отнести:

  • факт того, что лицо занимает ту или иную должность;
  • основания, по которым лицо занимает должность;
  • размер вознаграждения лицу за исполнение им своих обязанностей;
  • факт того, что полномочия лица прекратились, и основания такого прекращения;
  • для членов совета директоров и коллегиального исполнительного органа - факт голосования определенным образом на заседаниях.

Чтобы сразу предупредить вопросы внимательных читателей, отмечу, что необходимо различать факт отнесения определенной информации к персональным данным и обязанность по сохранению конфиденциальности персональных данных. Эти два обстоятельства, хотя и коррелируют между собой, но не всегда взаимосвязаны. В особенности в сфере корпоративных отношений.

Действительно, ч. 1 ст. 18.1 Закона о персональных данных предусматривает основную обязанность оператора персональных данных - сохранение их конфиденциальности, то есть запрет на их распространение и передачу без согласия субъекта. Вообще, необходимость согласия субъекта на распространение его персональных данных в информационном праве считается основным принципом обработки персональных данных, однако очевидно, что как в праве в целом, так и в сфере персональных данных в частности, существенным является вопрос о балансе частных и публичных интересов.

К частным интересам здесь следует отнести интерес в сохранении лицом своих персональных данных, а к публичным - интерес общества (то есть всех остальных, кроме субъекта) и государства в обладании информацией о том, что такое-то лицо состоит в таких-то отношениях.

В этой связи Закон о персональных данных и корпоративные законы устанавливают определенные исключения, связанные с обработкой персональных данных в корпоративных правоотношениях.

Прежде всего, следует отметить, что ст. 6 Закона о персональных данных, ст. 7 Федерального закона от 27.07.2006 г. № 149-ФЗ Об информации, информационных технологиях и о защите информации" устанавливают освобождение от обязанности сохранения конфиденциальности общедоступных персональных данных, то есть тех персональных данных, которые были однажды разглашены. И здесь мы сталкиваемся с двумя интересными проблемами.

Во-первых, не является секретом, что большой объем персональных данных содержится в Едином государственном реестре юридических лиц, в том числе, сведения о том, что лицо является единоличным исполнительным органом, участником общества с ограниченной ответственностью. Можно ли считать, что такие персональные данные являются общедоступными?

Собственно, какие тут могут быть сомнения? Но сомнения могут быть в том, является ли такая информация персональными данными в принципе. Как следует из определения персональных данных, они должны относиться к определенному или определяемому лицу. И тут стоит вспомнить то, что говорилось выше о номинативной информации. Если, например, ЕГРЮЛ содержит сведения о том, что Титов Дмитрий Михайлович является генеральным директором ООО N", можно ли считать это персональными данными?

Очевидно, что в России проживает достаточно большое количество Титовых Дмитриев Михайловичей, чтобы можно было сделать вывод, что именно автор данной статьи является где-то генеральным директором. Поэтому если в так называемой краткой выписке из ЕГРЮЛ, которую может получить любое лицо, не содержится ИНН физического лица (а он, как известно, уникален и достоверно определяет гражданина), то вряд ли информацию о том, что конкретный обладатель распространенного имени как-то относится к юридическому лицу, содержащуюся в ЕГРЮЛ, можно считать общедоступной и обрабатывать ее как общедоступную, в том числе, открыто распространять.

Во-вторых, в теории существует спорный вопрос о том, необходимо ли сохранять конфиденциальность незаконно распространенных персональных данных. В ближайшее время конец этой дискуссии вряд ли будет положен, а какого-либо авторитетного мнения на уровне, например, Верховного Суда РФ в настоящее время нет. Закон о персональных данных оперирует понятием данных, сделанных общедоступными их субъектом, то есть имелось волеизъявление субъекта на их распространение. Это освобождает оператора от обязанности получения согласия субъекта на их дальнейшую обработку или поддержание конфиденциальности.

Но что делать оператору в ситуации, если субъект не хотел распространения его персональных данных? Например, в сеть Интернет попали данные о том, что определенный Иванов Иван Иванович, являющийся акционером АО Ромашка", получил дивиденды в размере Х рублей. Должно ли АО Ромашка" дальше предпринимать меры для сохранения конфиденциальности этой информации? Здесь сталкиваются логика закона и здравый смысл: по Закону о персональных данных оператор может обрабатывать без согласия субъекта и не соблюдать конфиденциальность только тех персональных данных, которые субъект раскрыл самостоятельно, а здесь этого явно не было; с точки зрения здравого смысла, зачем хранить конфиденциальность информации, которая уже всем известна?

Как было сказано выше, какого-то конкретного решения данной проблемы практика пока что не предложила, поэтому операторам рекомендуется все же руководствоваться не здравым смыслом, а законом, особенно если это не влечет особых финансовых затрат.

Персональные данные и корпоративное право на получение информации

Несмотря на вышеизложенное, очевидно, что финансовую информацию, то есть сведения о доходах лица, нельзя получить из ЕГРЮЛ и, как правило, из других открытых источников. Исключение, пожалуй, составляют публичные общества, которые должны раскрывать информацию о начисленных и выплаченных дивидендах, а также о крупных акционерах (аффилированных лицах), так что здесь получение финансовых персональных данных сводится к элементарной арифметической операции.

Однако акционеры / участники часто заинтересованы в получении именно финансовой информации, а также иных персональных данных из тех, которые перечислены выше. Напомним, что ст. 67 ГК РФ в качестве одного из прав участников хозяйственных обществ содержит право на получение информации о деятельности общества. В соответствии со ст. 89 91 Федерального закона от 26.12.1995 г. № 208-ФЗ Об акционерных обществах" и ст. 50 Федерального закона от 08.02.1998 г. № 14-ФЗ Об обществах с ограниченной ответственностью", общества обязаны хранить и предоставлять определенную информацию. Вопросам предоставления информации посвящено известное Информационное письмо Президиума ВАС РФ от 18.01.2011 г. № 144 О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ".

Итак, как же соотносятся право акционера / участника на получение информации и обязанность по сохранению персональных данных?

Здесь любопытно обратиться к делу, рассмотренному еще Президиумом Высшего Арбитражного Суда РФ и относящемуся к предоставлению сведений о вознаграждении генерального директора (Постановление Президиума ВАС РФ от 22.05.2012 г. № 16803/11). Акционеры пытались получить копию трудового договора с генеральным директором, однако общество отказалось предоставить такую копию со ссылкой на то, что договор содержит сведения о заработной плате генерального директора, относящиеся к персональным данным. Суды первой, апелляционной и кассационной инстанции согласились с доводами общества, но Президиум ВАС РФ взглянул на данную ситуацию иначе. С его точки зрения, размер заработной платы генерального директора напрямую влияет на стоимость акций, поэтому акционеры не могут быть отстранены от получения информации о зарплате директора. К тому же такой подход очевидно создает большое пространство для злоупотреблений в установлении зарплаты директору и золотых парашютов". Таким образом, Президиум ВАС РФ при разрешении дела приоритет отдал интересам акционеров перед интересами генерального директора.

По большому счету, это дело является развитием правовой позиции, высказанной в п. 15 Информационного письма № 144, где речь шла о предоставлении персональных данных, необходимых акционерам и участникам для защиты своих прав. Как мы увидим, суды пошли дальше в трактовке права на получение информации и обязывают предоставлять персональные данные вне зависимости от целей их получения.

Очевидно, что аналогичным образом должен решаться вопрос с предоставлением сведений о вознаграждениях членов совета директоров и правления, в том числе в иных организациях (не только АО).

Вероятно, во всех подобных случаях следует исходить из того, что акционеры и участники являются собственниками организации и как собственники вправе знать, что происходит с их имуществом, и такой интерес подлежит правовой защите.

Приведенная позиция ВАС РФ, по мнению автора, разрешает еще один спор, а именно о соотношении общих и специальных норм. Известное правило: при коллизии общей и специальной норм применяется специальная норма. Так где же содержится общая, а где специальная норма в корпоративных правоотношениях? Общей является норма о предоставлении информации участникам и акционерам, а специальная - в Законе о персональных данных, запрещающая предоставление определенной информации? Или наоборот: в Законе о персональных данных содержится общая норма о сохранении конфиденциальности персональных данных, а в Законах об АО и ООО содержатся специальные нормы о предоставлении информации акционерам и участникам? И как мы видим, ВАС РФ разрешил эту дилемму в пользу второго варианта.

Судебная практика пошла еще дальше в вопросе предоставления акционерам персональных данных. Если в деле, рассмотренном Президиумом ВАС РФ, вопрос касался предоставления персональных данных единоличного исполнительного органа (который тоже, в принципе, можно отнести к участникам корпоративных правоотношений), то в некоторых делах суды отдавали приоритет праву акционера на получение информации перед защитой персональных данных рядовых работников, а значит, перед нормами Трудового кодекса РФ (см., например, Постановление ФАС Волго-Вятского округа от 10.12.2012 г. по делу № А43-13613/2012, Постановление ФАС Восточно-Сибирского округа от 09.07.2012 г. по делу № А33-18502/2011, Постановление ФАС Дальневосточного округа от 12.01.2011 г. по делу № А73-8147/2009 и др.). С другой стороны, как показывает судебная практика, в ряде случаев акционеры при формулировании запросов о предоставлении информации прямо указывают на возможность исключения персональных данных при отсутствии согласия гражданина на их предоставление (см., например, Постановление ФАС Восточно-Сибирского округа от 14.08.2012 года по делу № А33-21360/2011).

Таким образом, анализ судебной практики показывает, что на сегодняшний день сформировалась четкая правовая позиция по вопросу об обязанности хозяйственных обществ предоставлять их участникам и акционерам персональные данные: они должны это делать.

У акционеров / участников, которым общество отказывает в предоставлении персональных данных (следует отметить, что ссылка на невозможность предоставления персональных данных - очень частое основание для отказа), есть два пути для защиты своих прав:

  • обращение в арбитражный суд с иском об обязании предоставить соответствующие документы, и вероятность удовлетворения такого иска стоит оценивать практически как стопроцентную (конечно, при соблюдении прочих условий запроса информации);
  • обращение в контролирующий орган (региональное управление Банка России) с жалобой на нарушение корпоративных прав. Ответственность за непредоставление информации предусмотрена ст. 15.19 КоАП РФ и в настоящее время санкция для юридических лиц - это штраф в размере от 500 000 до 700 000 рублей. Вероятность признания незаконным привлечения к ответственности, как опять же видно из практики, стремится к нулю (конечно, при соблюдении прочих условий привлечения к административной ответственности).

Иные исключения из Закона о персональных данных

Выше мы говорили о том, что обязательность получения согласия субъекта персональных данных на их обработку считается чуть ли не основным принципом работы операторов. Однако в сфере корпоративных правоотношений этот принцип едва ли применим.

Согласно п. 2 ч. 1 ст. 6 Закона о персональных данных обработка персональных данных допускается, если она необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. Как видно из положений корпоративного законодательства, на хозяйственные общества, а также на реестродержателей напрямую федеральными законами возложена обязанность по обработке персональных данных, то есть лицо, вступая в корпоративные отношения с конкретным обществом (приобретая акции или доли в уставном капитале), по сути, своими действиями дает согласие на обработку персональных данных.

Единственное, что необходимо учитывать при применении данного исключения, это то, что согласно ч. 2 ст. 5 Закона о персональных данных, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Это означает, что круг персональных данных, которые оператор может обрабатывать в сфере корпоративных отношений без согласия гражданина, ограничивается теми, которые были перечислены выше. В случае если оператору становятся известны персональные данные, которые не входят в сферу корпоративных отношений (например, сведения о частной, семейной жизни гражданина или какие-либо иные), эти данные должны быть немедленно уничтожены.

В принципе, Закон о персональных данных содержит достаточно много правомочий субъекта персональных данных, которые либо дублируются в отраслевых законах, либо пользоваться ими в корпоративной сфере не придет в голову ни одному здравомыслящему человеку. Например, у субъекта персональных данных есть право на доступ к его персональным данным, которому в корпоративном праве соответствует возможность получения выписки из реестра акционеров или из списка участников ООО. С другой стороны, у субъекта есть, например, и право на получение информации, касающейся обработки его персональных данных, в том числе, подтверждение факта обработки его персональных данных, правовые основания и цели обработки персональных данных, цели и способы обработки персональных данных и т. д. (п. 7 ст. 14 Закона о персональных данных). Однако автор сомневается, что акционеру придет в голову обратиться в свое акционерное общество для того, чтобы получить подтверждение факта обработки персональных данных.

Аналогичным образом, вероятно, должен решаться вопрос и с раскрытием информации в порядке, предусмотренном законодательством о рынке ценных бумаг. Как видно из соответствующих положений ст. 30 Федерального закона от 22.04.1996 г. № 39-ФЗ О рынке ценных бумаг" и Положения Банка России от 30.12.2014 г. № 454-П О раскрытии информации эмитентами эмиссионных ценных бумаг", раскрывая определенную информацию о своей деятельности и корпоративных отношениях, акционерное общество не может избежать раскрытия и персональных данных.

В частности, если обратиться к п. 5.2 части Б приложения 3 к вышеуказанному Положению, то из него следует, что по каждому из органов управления эмитента, кроме общего собрания акционеров (участников), раскрывается персональный состав органа управления и указываются следующие сведения:

  • фамилия, имя, отчество (если имеется), год рождения;
  • сведения об образовании;
  • все должности, занимаемые таким лицом в эмитенте и других организациях за последние пять лет и в настоящее время в хронологическом порядке, в том числе по совместительству;
  • доля участия такого лица в уставном капитале эмитента или доля принадлежащих такому лицу обыкновенных акций эмитента и количество акций эмитента каждой категории (типа), которые могут быть приобретены таким лицом в результате осуществления прав по принадлежащим ему опционам эмитента;
  • та же информация в отношении долей и акций дочерних и зависимых обществ эмитента.

Это неполный перечень раскрываемой информации, но мы видим, что в ежеквартальном отчете указывается как номинативная информация (ФИО лица), так и существенная личная и финансовая информация (об образовании, занимаемых должностях, количестве акций, из чего можно сделать вывод о получаемых дивидендах), то есть вся та информация, которую выше мы отнесли к персональным данным.

Если обратиться к п. 46.2 Положения, устанавливающего содержание сообщения о существенном факте о совершении эмитентом сделки, в совершении которой имеется заинтересованность, то видно, что эмитент обязан раскрыть, в том числе, содержание сделки, сторон и выгодоприобретателей по сделке, размер сделки в денежном выражении и в процентах от стоимости активов эмитента. Очевидно, что все эти сведения должны раскрываться и в том случае, если контрагентом или выгодоприобретателем по сделке является физическое лицо, и все эти сведения относятся к персональным данным.

Перечень подобных примеров можно продолжить. Но очевидно, что во всех случаях раскрытия на рынке ценных бумаг информации, содержащей персональные данные, общий принцип остается прежним: так как информация раскрывается в соответствии с федеральным законом, то на основании п. 2 ч. 1 ст. 6 Закона о персональных данных согласие лица на их обработку (а раскрытие, как мы помним, входит в понятие обработки) не требуется. Единственное, о чем следует помнить эмитенту, так это о том, что закон специально указывает, какие конкретные персональные данные подлежат раскрытию, и эмитент не может выходить за эти пределы.

Раскрытие не требуемой законом информации будет уже нарушением прав субъекта персональных данных.

Сохранение конфиденциальности персональных данных

Основной обязанностью операторов персональных данных является обязанность по сохранению их конфиденциальности. Эта обязанность в общей форме закреплена в ч. 1 ст. 19 Закона о персональных данных: оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Перечисленные в ч. 2 ст. 19 Закона меры носят общий характер и касаются поддержания режима конфиденциальности: определение угроз безопасности персональных данных, применение организационных и технических мер, обнаружение фактов несанкционированного доступа к персональным данным, установление правил доступа к персональным данным, контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Подробно те действия, которые должен совершить субъект персональных данных, описаны в подзаконных нормативных актах: Приказ ФСТЭК России от 18.02.2013 г. № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ФСТЭК 14.02.2008 г.), Приказ ФСБ России от 10.07.2014 г. № 378 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием криптографической защиты информации".

По поводу конкретных мер высказываются мнения об их чрезмерности. Вообще, в информационном праве рефреном проходит мысль о том, что российский законодатель забыл разделить защиту прав субъекта персональных данных и защиту собственно персональных данных. В качестве примера приводится законодательство европейских стран, где нет перечисления конкретных мер защиты персональных данных, и их выбор остается на усмотрение оператора; единственное требование - это адекватность защиты персональных данных от возможных угроз.

Российский законодатель пошел по другому пути: отвлекшись от возможного нарушения прав субъектов персональных данных, он установил[3] драконовские меры защиты персональных данных, соответствовать которым могут, наверно, только банки, страховщики и подобные им организации и которые выглядят исчерпывающими для участников корпоративных правоотношений.

Справедливости ради, следует отметить, что автору не удалось найти в практике случаев привлечения к ответственности юридических лиц за несоблюдение требований по принятию мер к сохранению конфиденциальности персональных данных в сфере корпоративных отношений. Вероятно, вывод, что это делать необязательно, - в корне неверен. Скорее, проверяющим пока есть чем заняться помимо этой области[4].

Таким образом, из вышеизложенного можно сделать ряд практических выводов:

  • Акционеры / участники хозяйственных обществ являются субъектами персональных данных, а сами хозяйственные общества - операторами персональных данных.
  • Персональные данные в сфере корпоративных отношений собираются без согласия субъекта в силу прямого указания закона.
  • Хозяйственные общества как операторы несут основную обязанность по поддержанию конфиденциальности персональных данных участников корпоративных отношений (акционеров, участников, членов органов управления).
  • Несмотря на то, что некоторые персональные данные содержатся в ЕГРЮЛ, их все же не стоит считать по умолчанию общедоступными и свободно распространять.
  • Также следует поддерживать конфиденциальность персональных данных участников корпоративных отношений, ставших общедоступными незаконно.
  • Отказ в предоставлении информации участникам ООО или акционерам со ссылкой на то, что она содержит персональные данные, является незаконным. Наличие персональных данных в составе предоставляемых документов или информации не является препятствием. В лучшем случае акционер / участник обяжет общество предоставить информацию через суд. В худшем - обществу грозит штраф в размере от 500 000 рублей до 700 000 рублей.

[1] Петрыкина Н.И. Правовое регулирование оборота персональных данных. Теория и практика. М., Статут, 2011; Стрельников В. Персональным данным особую защиту // ЭЖ-Юрист. 2013, № 12.

[2] То, что ФИО, дата и место рождения, паспортные данные, адрес регистрации являются персональными данными, настолько очевидно, что мы не будем на этом останавливаться.

[3] Хотя, справедливости ради, претензия к самому законодателю, наверное, несколько притянута, если только не понимать под законодателем ФСБ России и ФСТЭК, определявшие конкретные меры защиты персональных данных.

[4] Какое-то время назад имела место следующая статистика: на 7 миллионов операторов был установлен лимит 6 тысяч проверок в год. См.: Борисенко О.В. О применении Федерального закона от 27 июля 2006 года № 152-ФЗ О персональных данных" // Юрист, 2011, № 21.