Договор об обработке персональных данных с директором

Предоставление персональных данных генерального директора

«Кадровик. ру», 2012, N 6

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ГЕНЕРАЛЬНОГО ДИРЕКТОРА

Персональные данные работника могут понадобиться работодателю в ходе трудовых отношений. Эти сведения являются конфиденциальными. В соответствии со ст. 88 Трудового кодекса Российской Федерации работодатель не должен передавать персональные данные сотрудника третьей стороне без его письменного согласия, а также разглашать эти сведения в коммерческих целях. Однако эти требования законодательства не всегда могут быть соблюдены, когда речь идет о генеральном директоре компании.

Персональные данные генерального директора используются на практике гораздо чаще, чем данные любого другого сотрудника. И это не удивительно, ведь генеральный директор действует от имени компании, представляет ее интересы, дает другим работникам полномочия на осуществление действий, связанных с деятельностью организации. Персональные данные генерального директора могут содержаться в доверенностях на исполнение обязанностей, договорах, распорядительных документах, анкетах. Они могут потребоваться для получения банковских и иных кредитов и т. д.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия сотрудника запрещена, за исключением предусмотренных законом случаев. В соответствии со ст. 88 ТК РФ генеральный директор считается работником, на него распространяются все положения трудового законодательства. С ним, как и с другими сотрудниками, заключается договор, издается приказ о его назначении, соответствующие записи о трудовых отношениях вносятся в трудовую книжку. Согласие необходимо оформить в письменном виде, из него должно быть понятно, кому и с какой целью будут передаваться персональные данные. При этом ст. 88 ТК РФ предусматривает, что без согласия работника персональные данные не могут передаваться в коммерческих целях работника.

Однако ограничение на распространение персональных данных действует не на все сведения о генеральном директоре. В Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) были внесены изменения Федеральным законом от 25.07.2011 N 261-ФЗ. В Законе N 152-ФЗ выделены три вида персональных данных:

— общедоступные (ст. 8 Закона N 152-ФЗ);

— специальные категории персональных данных (ст. 10 Закона N 152-ФЗ);

— биометрические (ст. 11 Закона N 152-ФЗ).

Общедоступные персональные данные могут быть известны неограниченному кругу лиц. Сюда относятся фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, ученых степенях и званиях и другая информация, которая предоставляется субъектом и может быть отнесена к общедоступному источнику персональных данных (ст. 8 Закона N 152-ФЗ). Источниками для таких данных будут телефонные и адресные книги, энциклопедии и т. п. Данные о генеральном директоре, ставшие общедоступными, могут свободно использоваться, и их распространение законодателем не регулируется.

Согласно ч. 1 ст. 10 Закона N 152-ФЗ к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных генерального директора Законом запрещена. Оперировать персональными данными о судимости могут государственные или муниципальные органы в пределах своих полномочий.

Особая и весьма специфическая группа — биометрические персональные данные, отражающие физиологические характеристики человека. К ним относятся особенности строения частей тела, отпечатки пальцев, ладони, строение сетчатки глаза, анализ ДНК и т. п. Распространение таких данных — редкий случай.

Чаще всего проблемы связаны с некоторыми данными генерального директора, без которых невозможно выдать доверенность, заключить договор или взять кредит в банке. Речь идет о следующих сведениях:

— фамилия, имя, отчество;

— дата и место рождения;

— зарплата, другие доходы;

— владение недвижимым имуществом, денежные вклады и др.;

— образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;

— привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

— факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

— физиологические особенности, здоровье;

— деловые и иные личные качества.

Перечисленные данные, как правило, запрашиваются банком для заполнения анкеты и служат для проверки клиента при заключении договора кредитования. Все эти сведения в соответствии с Законом о персональных данных являются охраняемыми.

Как не нарушить закон?

Лица, имеющие доступ к персональным данным генерального директора (перечень таких лиц определяется положением о защите персональных данных, утвержденным в организации), обязаны не передавать эти сведения третьим лицам и не распространять персональные данные без согласия субъекта. Поэтому необходимо получить от генерального директора согласие на обработку персональных данных, которое должно отвечать нескольким требованиям.

Во-первых, согласие необходимо оформить письменно. Во-вторых, оно должно содержать целый перечень сведений, к которым относятся следующие (ст. 9 Закона N 152-ФЗ):

— фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

— фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

— наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

— наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

— срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

— подпись субъекта персональных данных.

Только при наличии надлежаще оформленного согласия компания может предоставлять персональные данные генерального директора третьим лицам и обрабатывать их самостоятельно. Кроме того, следует изложить порядок раскрытия персональных данных сотрудниками и генеральным директором в отдельном локальном акте организации. Отметим, что в Законе имеется ряд пробелов в части раскрытия информации руководителем компании.

В случае раскрытия персональных данных, безусловно, возникает целый ряд вопросов. Может ли информация быть доступна всем заинтересованным лицам — акционерам, коллегам, контрагентами и др.? Есть ли предел распространения таких сведений? Какие данные могут использоваться только внутри организации, а какие — за ее пределами? Проблемой является и возможность непредоставления информации о генеральном директоре. Эти вопросы становились поводами для судебных разбирательств.

Однако прежде, чем приступить к рассмотрению конкретных судебных решений, отметим, что предел раскрытия информации может быть определен в локальном акте компании и в согласии на обработку персональных данных. При этом внутренний документ не может противоречить нормам законодательства, например, в части предоставления информации акционерам.

В некоторых ситуациях генеральный директор должен раскрыть информацию о доходах акционерам на основании норм Закона от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг», однако генеральный директор не хочет раскрывать данные о собственных доходах (ст. 30). В таком случае нельзя закрепить в локальном акте положение о нераспространении информации.

Предоставить документы, не раскрывая персональные данные, возможно. Такой вывод, в частности, следует из Определения ВАС РФ от 27.02.2012 N ВАС-16803/11 по делу N А40-43149/11-121-290. В суде рассматривалась следующая ситуация. В соответствии с п. 1 ст. 91 Закона об акционерных обществах общество обязано обеспечить доступ акционеров к документам, предусмотренным п. 1 ст. 89 данного Закона, и предоставить акционеру по его требованию копии этих документов. К документам бухгалтерского учета и протоколам заседаний коллегиального исполнительного органа имеют право доступа акционеры (акционер), владеющие в совокупности не менее чем 25% голосующих акций общества. Для соблюдения паритета интересов генерального директора и акционеров, по мнению суда, трудовой договор мог быть предоставлен акционерам без открытия персональных данных директора общества. Пример выдержки из трудового договора с исключением персональных данных приведен в приложении 1.

Заинтересованным лицам, например контрагентам, можно предоставить решение о назначении генерального директора также без предоставления персональных данных (приложение 2).

Согласно Постановлению ФАС Московского округа от 14.01.2010 N КА-А40/14463-09 по делу N А40-38438/09-17-269 в аналогичной ситуации суд пришел к иному выводу. Он указал, что работодатель правомерно не предоставил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность.

Сложившаяся судебная практика позволяет сделать вывод о том, что компания может предоставлять заинтересованным лицам документы без раскрытия персональных данных директора. Это касается обсуждения проектов договоров, передачи типовых документов контрагентам, предоставления договора с генеральным директором акционерам.

Еще одно основание для судебных споров — раскрытие сведений о генеральном директоре, которые в соответствии с законом не являются персональными данными. Например, не является конфиденциальной информация о том, что гражданин не оплачивает коммунальные услуги. Такие данные не относятся к частной жизни и не составляют тайну, которую стороннее лицо не вправе разглашать в силу своих профессиональных обязанностей (Кассационное определение Пермского краевого суда от 05.10.2010 N 33-8722).

Также не может быть признана нарушением передача персональных данных в счетах физических лиц, например если данные о генеральном директоре содержатся в платежных документах. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 суд признал, что передача персональных данных физических лиц третьему лицу управляющими организациями является частью их деятельности. Следовательно, нормы закона в этой части не нарушаются.

Еще одна проблема — наличие персональных данных в договоре, например при заполнении заявки на кредит. В Постановлении ФАС Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009 суд признал действия компании, предоставляющей анкеты на подбор кредитов, правомерными и не установил в действиях ответчика нарушений требований Закона N 152-ФЗ. В рассматриваемой ситуации физические лица, планировавшие получить ипотечные кредиты, заполняя анкеты-запросы в электронном виде на веб-ресурсах, последовательно отвечали на вопросы, предполагающие предоставление персональных данных. Эти сведения требовались для получения ипотечного кредита, в анкете было указано, что кредит выделяется банком, а не ответчиком. Затем физлица отправляли анкеты в электронном виде в ООО «К***», которое непосредственно имело доступ к административной части веб-ресурсов.

Таким образом, если генеральный директор самостоятельно заполняет заявку, анкету для заключения договора, законодательство не нарушается. Но правовая проблема заключается в том, что не ясно, кто заполняет заявку, каким образом получено согласие и куда попали персональные данные. Заявка является документом, разработанным банком, и может оформляться как в электронном, так и в бумажном виде.

Некоторые действия, связанные с обработкой данных, не квалифицируются как незаконные, например в случае вызова в прокуратуру. Прокуратура может запросить как паспортные данные генерального директора, так и сведения о заработной плате (если он подозревается в экономических преступлениях, связанных с «выплатой зарплаты в конвертах» и неуплатой налогов в особо крупных размерах). В качестве подтверждения можно привести Кассационное определение Санкт-Петербургского городского суда от 08.12.2010 N 33-16601. Аналогичные выводы сделаны судом в отношении полномочий приставов-исполнителей. В Определении ВАС РФ от 16.12.2011 N ВАС-14324/11 по делу N А12-23512/2010 Суд пришел к выводу о том, что Законы от 21.07.1997 N 118-ФЗ «О судебных приставах» и от 02.10.2007 N 229-ФЗ «Об исполнительном производстве» допускают обработку персональных данных без согласия субъекта, поскольку эти нормативные правовые акты устанавливают цель, условия получения сведений, круг субъектов, персональные данные которых подлежат обработке, и полномочия судебного пристава, который эту обработку будет осуществлять.

Нарушение порядка хранения, использования и раскрытия персональных данных генерального директора влечет за собой меры административной ответственности. В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

— на граждан — от 300 до 500 руб.;

— на должностных лиц — от 500 до 1000 руб.;

— на юридических лиц — от 5000 до 10 000 руб.

А на основании ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если оно влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

— на граждан — от 500 до 1000 руб.;

— на должностных лиц — от 4000 до 5000 руб.

Если будет установлено, что такое нарушение совершил сотрудник, ответственный за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

В целом можно отметить, что штрафы за разглашение персональных данных не являются внушительными. Однако следует помнить, что в последнее время в законодательство о защите персональных данных были внесены изменения и проверки проводятся все чаще. Поэтому необходимо тщательно соблюдать порядок защиты персональных данных всех работников организации, в том числе и генерального директора.

Пример выдержки из трудового договора

без персональных данных

11 марта 2012 г. N 331-12

ЗАО «Богатый и зажиточный», именуемое в дальнейшем «Работодатель», в лице единственного учредителя Ничегонидельникова Петра Ивановича, действующего на основании устава, с одной стороны, и гражданин Российской Федерации Трудоголиков Василий Степанович, именуемый в дальнейшем «Работник» (паспорт серия 00 номер 000000, выдан ОВД района Международный г. Москвы), действующий в своих интересах и от своего имени, с другой стороны, а вместе именуемые «Стороны», заключили настоящий договор о нижеследующем.

4. Обеспечение условий труда, гарантии и компенсации.

4.1. Заработная плата Работника устанавливается в размере XXXXXX (XXXXXX тысяч) рублей в месяц. Кроме того, ему выплачивается премия в размере XXX% от XXXXX в квартал.

Пример решения о назначении генерального директора

без персональных данных

Решение о назначении генерального директора на должность

единственного участника общества

г. Москва 23.05.2011

Я, гражданин Российской Федерации Свиридов Анатолий Иванович (паспорт 1111 111111, выдан ОВД Зюзино г. Москвы 11.01.2007, зарегистрирован по адресу: 444555, г. Москва, ул. Строителей, д. 135, кв. 211), являющийся единственным участником общества с ограниченной ответственностью «Олимп» (ОГРН 2222222222222, ИНН 1111111111, место нахождения: 222333, г. Москва, ул. Мира, 2/15),

Назначить на должность генерального директора общества с ограниченной ответственностью «Олимп» гражданина РФ Свиридова Анатолия Ивановича (паспорт 1111 111111, выдан ОВД Зюзино г. Москвы 11.01.2007, зарегистрирован по адресу: 444555, г. Москва, ул. Строителей, д. 135, кв. 211) с 24.05.2011 сроком на 5 лет.

Единственный участник Свиридов А. И. Свиридов

Публикации

Персональные данные в корпоративном управлении

Светлана Жердина, Юрист Группы международных проектов

Жердина, Двенадцатова_Акционерное общество_Персональные данные в корпоративном управлении_10.2017

Законодательство о персональных данных в Российской Федерации уже давно стало предметом бурных обсуждений среди практикующих юристов и бизнес-сообщества. Особую актуальность тематика персональных данных приобрела после ужесточения административной ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), в частности с вступлением с 01 июля 2017 г. в силу поправок в статью 13.11 КоАП РФ[1].

Корпоративная деятельность неразрывно связана с получением и обработкой персональных данных. Так, например, хозяйственное общество обязано предоставлять по запросу акционера документы общества, которые могут содержать в числе прочего персональные данные. Другим примером может быть раскрытие информации о крупных акционерах, членах совета директоров общества на официальном сайте компании, где могут фигурировать персональные данные. Наконец, обращение к родственникам с целью сбора и передачи обществу информации о юридических лицах, в которых заинтересованные лица, их супруги, родители, дети, полнородные и неполнородные братья и сестры и (или) их подконтрольные организации занимают должности.

Наиболее часто используемым основанием для обработки персональных данных является согласие субъекта. Вместе с тем оно требуется далеко не всегда. Закон о персональных данных предусматривает несколько исключений, когда получение согласия субъекта на обработку персональных данных не требуется. Эти исключения предусмотрены в статье 6 Закона о персональных данных, которая содержит условия обработки таких данных.

В сфере корпоративного управления наиболее часто используются следующие два исключения, когда при обработке персональных данных согласие субъекта не требуется:

1) Обработка персональных данных, подлежащих раскрытию или опубликованию по закону (подп. 11 ч. 1 ст. 6);

2) Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6).

Далее будут более подробно прокомментированы указанные исключения.

Обработка персональных данных, подлежащих раскрытию или опубликованию по закону

Чаще всего в рамках корпоративного управления персональные данные раскрываются в целях соблюдения требований законодательства. Так, например, персональные данные членов совета директоров раскрываются при публикации годовых отчетов акционерного общества в соответствии со статьей 92 Федерального закона от 26.12.1995 № 208-ФЗ «Об акционерных обществах» (далее – Закон об акционерных обществах). Сведения об аффилированных лицах акционерного общества раскрываются в соответствии с главой 73 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг [2] . Члены совета директоров предоставляют акционерному обществу информацию о занятии ими, их супругами, родителями, детьми, братьями и сестрами, усыновителями или усыновленными должности в органах управления другого юридического лица согласно пункту 2 части 1 статьи 82 Закона об акционерных обществах. Возникает вопрос, нужно ли в данном случае получать согласие субъекта на обработку его персональных данных?

Здесь действует следующее правило: согласие субъекта персональных данных не требуется при соблюдении следующих условий:

1. Условие 1. Если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом[3]; или

2. Условие 2. Если обработка персональных данных необходима для осуществления и выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством Российской Федерации[4].

Указанные условия Закона о персональных данных идут «плечом к плечу», и можно смело говорить о том, что в отсутствие условия 1 оператор мог бы обрабатывать персональные данные, подлежащие обязательному опубликованию или раскрытию, руководствуясь условием 2, – т.е. для осуществления и выполнения функций, возложенных на него законодательством. Обратим, однако, внимание на то, что в отличие от условия 1, где речь идет о соблюдении федерального закона, в условии 2 используется понятие «законодательство Российской Федерации».Следовательно, в соответствии с данным условием возможна обработка персональных данных, если это предусмотрено как федеральными законами, так и постановлениями правительства, а также актами органов власти субъектов или органов местного самоуправления.

Таким образом, следует придерживаться простого правила: если обработка (в том числе предоставление, раскрытие) предусмотрена законодательством Российской Федерации, согласие субъекта персональных данных на такую обработку не требуется. Если обработка персональных данных не предусмотрена законодательством или обработка происходит в объеме большем, чем предусмотрено законодательством, на такую обработку потребуется согласие субъекта.

Разберем данное правило на простых примерах.

Раскрытие сведений о членах совета директоров акционерного общества

Публичные общества, а также непубличные общества с числом акционеров более 50 обязаны раскрывать годовой отчет в соответствии со статьей 92 Закона об акционерных обществах.

Пример 1. Общество раскрыло на своей странице в сети Интернет краткие биографические данные членов совета директоров в объеме, предусмотренном пунктом 70.3 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг (год рождения, сведения об образовании, сведения об основном месте работы).

Согласие членов совета директоров на данное раскрытие информации не требуется, т.к. такое раскрытие предусмотрено законодательством.

Пример 2. Общество раскрыло на своей странице в сети Интернет данные о семейном положении членов совета директоров.

На данное раскрытие требуется согласие членов совета директоров, т.к. такое раскрытие не предусмотрено законодательством.

Пример 3. Общество опубликовало на своей странице в сети Интернет фотографии членов совета директоров.

По общему правилу, для публикации фотографий членов совета директоров требуется согласие, т.к. такая публикация не является обязательной в соответствии с требованиями законодательства. Однако есть обстоятельства, при которых согласие не требуется. Такие обстоятельства указаны в статье 152.1 Гражданского кодекса Российской Федерации, а именно: использование изображения в государственных, общественных или иных публичных интересах; изображение гражданина получено при съемке в местах, открытых для свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования; гражданин позировал за плату.

При этом отсутствие необходимости получения согласия субъекта не означает, что все требования законодательства при обработке персональных данных соблюдены. Общие принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных, должны соблюдаться. К таким принципам относится, в частности, соответствие содержания и объема персональных данных заявленным целям обработки. Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, если цель обработки персональных данных – соответствие требованиям по раскрытию информации, то раскрытие данных, не предусмотренных законом, уже не будет соответствовать заявленной цели.

Если, исходя из изложенного выше правила, требуется получать согласие субъекта на обработку его персональных данных, можно использовать форму согласия, приведенную ниже [5] .

Согласие на обработку персональных данных

Я, [ФИО субъекта], паспорт серии [●] номер [●], выдан [●], зарегистрированный по адресу [●], даю согласие [наименование общества – оператора персональных данных], расположенному по адресу [●], на обработку, а именно на [конкретизировать действия с персональными данными, например, сбор, запись, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение] следующих персональных данных:

[перечислить персональные данные, на обработку которых дается согласие, для Примера 2 и Примера 3 выше это данные о семейном положении и фотография]

с целью [указать цели обработки персональных данных; в указанных примерах это может быть размещение указанных персональных данных в сети Интернет на определенном сайте.]

Я проинформирован (-на) о том, что указанные выше персональные данные могут обрабатываться как автоматизированным, так и не автоматизированным способами обработки.

Согласие на обработку персональных данных дано на срок [указать срок; в указанных выше примерах это может быть срок, на который назначен член совета директоров].

Согласие на обработку персональных данных может быть отозвано на основании письменного обращения субъекта персональных данных с требованием к оператору о прекращении обработки персональных данных.

(Ф.И.О. полностью, подпись)

Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6 Закона о персональных данных)

Обработка персональных данных при предоставлении акционерам доступа к документам. Вопрос об обработке персональных данных встает и в случае, когда речь идет о предоставлении персональных данных акционерам/участникам общества в соответствии со ст. 91 Закона об акционерных обществах и ст. 50 Закона об обществах с ограниченной ответственностью. В частности, когда запрос акционера/участника связан с предоставлением персональных данных физических лиц, входящих в органы управления юридического лица, или лиц, вступивших в правоотношения с таким обществом.

В данном случае доступ к документам предоставляется с учетом позиций, изложенных в Информационном письме ВАС РФ от 18.01.2011 № 144 (далее – Письмо). Письмо предусматривает, что участник хозяйственного общества вправе получать информацию о физических лицах, вступивших в правоотношения с таким обществом, если это необходимо для защиты им своих прав и законных интересов. Речь идет, например, о случаях оспаривания участником сделки, заключенной обществом, либо предъявления иска члену совета директоров или генеральному директору с требованием о возмещении причиненных обществу убытков. В таких случаях заявитель вправе запрашивать у общества информацию и документы, содержащие в числе прочего персональные данные физических лиц, необходимые для обращения в суд, со ссылкой на пункт 7 часть 1 статьи 6 Закона о персональных данных.

Позиция, выработанная ВАС РФ, находит свое применение на практике. Так, арбитражный суд Дальневосточного округа признал незаконным отказ налогового органа предоставить копии документов из регистрационного дела по запросу конкурсного управляющего должника[6]. Одним из оснований для отказа стало то, что документы по запросу конкурсного управляющего содержали в себе персональные данные учредителей компании. Отказ налогового органа был признан судом незаконным со ссылкой на то, что обработка персональных данных в данном случае необходима для осуществления прав и законных интересов оператора или третьих лиц. В частности, согласно законодательству о банкротстве конкурсный управляющий исполняет обязанности руководителя должника и действует на основании и во исполнение судебного акта о признании должника несостоятельным (банкротом). В силу этого непредставление по запросу конкурсного управляющего сведений, содержащих среди прочего персональные данные, будет являться нарушением, так как препятствует сбору сведений о должнике и, как следствие, реализации конкурсным управляющим предоставленных законодательством о банкротстве специальных полномочий.

В другом деле арбитражный суд Западно-Сибирского округа признал незаконным отказ налогового органа в предоставлении протокола общего собрания общества с ограниченной ответственностью по причине нарушения прав субъектов персональных данных. Речь шла о предоставлении протокола, содержащего в себе паспортные данные физического лица, который не давал согласия на признание сведений о себе общедоступными. На этом основании налоговый орган ответил отказом, ссылаясь на пункт 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (далее – Закон о государственной регистрации). Согласно Закону о государственной регистрации сведения и документы, содержащиеся в реестре, являются открытыми и общедоступными, за исключением сведений с ограниченным доступом (абз. 2 п. 1 ст. 6 Закона о государственной регистрации). В соответствии с ограничениями законодательства о государственной регистрации данные документа, удостоверяющего личность, могут быть предоставлены лишь по запросу органов государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Однако данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц[7].

Изначально такое ограничение по предоставлению информации и копий документов из реестра было установлено в целях защиты сведений от посягательств лиц, не имеющих никакого отношения к обществу. В случае же, когда речь идет о предоставлении заявителю документов (включая протоколы общего собрания) общества, участником которого он является, основания для отказа отсутствуют. В связи с этим при обращении с запросом информации или корпоративных документов следует, прежде всего, учитывать характер запрашиваемой информации (документа); субъектный состав участников правоотношений; доказательства нарушения прав субъектов персональных данных или отсутствие таких нарушений.

Обработка и условия передачи персональных данных работника. При обработке персональных данных сотрудников необходимо руководствоваться разъяснениями Роскомнадзора[8], которыми установлены следующие правила. Согласие сотрудника на обработку его персональных данных не требуется при соблюдении следующих критериев:

(а) объем данных для обработки соответствует установленным законодательством пределам;

(б) цель обработки данных сотрудника не противоречит трудовому или иному специальному законодательству.

В разъяснениях Роскомнадзора прямо сказано, что согласие работника не требуется при обработке персональных данных в случаях, установленных трудовым договором, коллективным договором или иными правилами внутреннего трудового распорядка. Однако это не означает, что в локальные нормативные акты (далее – ЛНА) можно транслировать все что угодно. Главной задачей здесь является принятие ЛНА в порядке, установленном отраслевым законодательством, и отсутствие противоречий с принципами и положениями действующего трудового законодательства. Только если обработка ПД осуществляется в соответствии с надлежаще разработанными ЛНА и цели обработки соответствуют действующему трудовому законодательству, получать согласие работника нет необходимости.

На практике существует достаточно много примеров, когда работодатель может осуществлять обработку персональных данных без получения согласия сотрудника. Как правило, речь идет о случаях, когда обработка персональных данных необходима для выполнения работодателем, выступающим в качестве оператора, обязанностей, предусмотренных законодательством. В частности, если речь идет об образовательном учреждении, то законодательством предусмотрено, что на его сайте должна размещаться и обновляться информация, включающая в себя в числе прочего персональные данные сотрудников[9]. Например, фамилию, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, информация о персональном составе педагогических (научно-педагогических) работников.

Правила о получении согласия работника на обработку его персональных данных не применяются, когда речь идет о передаче персональных данных третьим лицам в целях предотвращения угрозы для жизни или здоровья сотрудника. Кроме того, трудовое законодательство предусматривает передачу персональных данных сотрудника в Пенсионный фонд и Фонд социального страхования без согласия работника со ссылкой на ст. 22 Трудового кодекса Российской Федерации. Наконец, законодательство предусматривает передачу персональных данных сотрудника без его согласия в налоговые органы, профсоюзы и военные комиссариаты или по мотивированному запросу прокуратуры и правоохранительных органов[10].

Анализ изложенных выше примеров и комментариев законодательства позволяет предложить следующие рекомендации при обработке персональных данных в сфере корпоративного управления.

Во-первых, руководствоваться правилом о том, что если обработка персональных данных предусмотрена законодательством, то согласие субъекта на обработку не требуется. Вместе с тем оператору персональных данных следует проверять и соблюдать, в каком объеме законодательство предусматривает раскрытие персональных данных. В противном случае может потребоваться согласие на обработку.

Во-вторых, операторам рекомендуется обращать внимание на принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных. Одним из принципов, на который стоит обратить особое внимание при обработке – соответствие содержания и объема персональных данных заявленным целям обработки. Велика вероятность, что такие принципы будут толковаться в пользу субъекта персональных данных как более слабой и уязвимой стороны по сравнению с оператором.

В-третьих, при обращении акционера/участника общества с запросом об ознакомлении с документами общества, которые могут содержать персональные данные, следует учитывать характер и объем запрашиваемой информации/документа, а также статус лица, направившего запрос.

Наконец, общей рекомендацией может быть предварительно оценивать риски нарушения прав акционеров/участников общества при отказе в предоставлении информации/документов с одной стороны и риски нарушения прав субъектов персональных данных при раскрытии информации/документов, содержащих эти данные. Попытка оценить риски и взвесить плюсы и минусы в случае отказа или раскрытия персональных данных в корпоративном управлении позволит оператору персональных данных избежать ответственности или как минимум выбрать меньшее из зол.

[1] См. подробнее: Жердина С.Ю. Ответственность за нарушение требований ФЗ «О персональных данных», Журнал «Акционерное общество» №08 (159), август 2017, С. 20-24.

[2] Утверждено Банком России 30.12.2014 № 454-П.

[3] Согласно пункту 11 части 1 статьи 6 Закона о персональных данных.

[4] Согласно пункту 2 части 1 статьи 6 Закона о персональных данных.

[5] Приведена общая форма согласия, которую следует адаптировать для конкретных нужд.

[6] Постановление Арбитражного суда Дальневосточного округа от 12.12.2016 № Ф03-5265/2016 по делу № А73-1619/2016.

[7] См.: Постановление Арбитражного суда Западно-Сибирского округа от 24.03.2017 № Ф04-439/2017 по делу № А45-10886/2016.

[8] Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»//СПС КонсультантПлюс.

[9] См. Правила размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденные постановлением Правительства Российской Федерации от 18.04.2012 № 343.

[10] См.: ст. ст. 17, 19 Федерального закона от 12.01.1996 № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности».

Арбитражная практика: Персональные данные в договорах и права акционеров

Арбитражный суд Нижегородской области рассмотрел в марте 2016 года дело № А43-1536/2016, в котором решался вопрос о том, имеет ли акционерное общество право раскрывать своим акционерам без его согласия персональные данные генерального директора, содержащиеся в его трудовом договоре, или же нет.

Общество ООО «Унисон Менеджмент», акционер общества ПАО ПКО «Теплообменник», направило в мае 2015 года в адрес ПАО требование о предоставлении копий документов, касающихся его деятельности, в том числе копии действующего трудового договора, заключенного с его генеральным директором.

Запрошенные копии акционер просил направить по своему почтовому адресу. В ответ на запрос ПАО сообщило о необходимости предоставления расписки, подтверждающей предупреждение акционера о конфиденциальности получаемой информации и обязанности ее сохранять, поскольку часть запрошенных документов содержит сведения, составляющие коммерческую тайну.

В сентябре 2015 года акционер представил расписку о сохранении конфиденциальности. Общество направило ему запрошенные копии документов, однако в представленном трудовом договоре генерального директора были скрыты паспортные данные, сведения о его доходах и место регистрации.

Акционер, посчитав, что обществом документы представлены не в полном объеме, обратился с жалобой в Волго-Вятское главное управление Банка России, которое выдало обществу предписание о предоставлении акционеру запрошенной информации в полном объеме.

Не согласившись с предписанием регулятора, общество обратилось в Арбитражный суд Нижегородской области. По его мнению, в отсутствии разрешения генерального директора на передачу своих персональных данных, общество не обязано предоставлять акционеру копию трудового договора, содержащего сведения о персональных данных, о доходах и месте регистрации руководителя.
Позиция Арбитражного суда Нижегородской области

Суд отметил, что статьями 89, 91 Федерального закона от 26.12.1995 № 208-ФЗ, пунктами 656, 657 «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Приказ Минкультуры России от 25.08.2010 № 558), предусмотрено право акционера на получение по запросу копии трудового договора, заключенного с руководителем акционерного общества, а также обязанность акционерного общества предоставить в установленном порядке данный документ.

Мой комментарий: В Перечне установлены только сроки хранения, и никаких норм, касающихся порядка предоставления акционерам документов, там нет и быть не должно. Упомянутые выше пункты перечня устанавливают срок хранения для следующих документов:

  • 656 Личные дела (заявления, копии приказов и выписки из них, копии личных документов, листки по учету кадров, анкеты, аттестационные листы и др.) (1);
  • 657 Трудовые договоры (служебные контракты), трудовые соглашения, договоры подряда, не вошедшие в состав личных дел.

ПАО, в том числе, ссылалось пункт 20 «Дополнительных требований к порядку предоставления документов, предусмотренных пунктом 1 статьи 89 федерального закона «Об акционерных обществах», и порядку предоставления копий таких документов» (Указание Банка России от 22.09.2014 № 3388-У).

Указание Банка России от 22.09.2014 N 3388-У «О дополнительных требованиях к порядку предоставления документов, предусмотренных пунктом 1 статьи 89 Федерального закона «Об акционерных обществах», и порядку предоставления копий таких документов»

20. В случае если запрошенные правомочным лицом документы акционерного общества содержат персональные данные и отсутствует согласие субъекта персональных данных на их предоставление третьим лицам, акционерное общество обязано предоставить правомочному лицу запрошенные документы акционерного общества, скрыв в них соответствующие персональные данные за исключением фамилии, имени и отчества субъекта персональных данных.

По мнению суда, данное положение к рассматриваемой ситуации применению не подлежит, как противоречащие федеральному закону от 27.07.2006 № 152-ФЗ, имеющему большую юридическую силу.

Суд также отметил, что аналогичный подход изложен в пункте 15 Информационного письма Президиума ВАС РФ от 18.01.2011 № 144 «О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ», в котором было разъяснено, что в силу пункта 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», не требуется согласия физических лиц, вступивших в правоотношения с обществом, на предоставление участнику хозяйственного общества документов, содержащих персональные данные таких физических лиц (фамилию, имя, отчество и место жительства физического лица, иную информацию, необходимую для обращения в суд в соответствии с требованиями процессуального законодательства, сведения о размере вознаграждения физического лица и т.д.), если эта информация необходима участнику для целей защиты своих прав и законных интересов, например оспаривания сделки, заключенной с этим лицом, либо обращения в суд с иском к члену совета директоров (наблюдательного совета) общества, единоличному исполнительному органу общества, временному единоличному исполнительному органу общества, члену коллегиального исполнительного органа общества (правления, дирекции), равно как и к управляющему о возмещении причиненных обществу убытков.

Мой комментарий: Как мне кажется, статья закона «О персональных данных», на которую ссылаются суды, немножко не том.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Логика суда в данном случае, как мне кажется, строится на том, что акционерное общество обязано предоставлять по запросу акционеров достаточно большой перечень документов и информации, включающий, в том числе, и финансовые договоренности с генеральным директором. Фактически судами рассматривался вопрос о том, какой объем данных о руководителе организации можно предоставлять акционерам общества. Согласитесь, что если акционер хочет проверить финансовую деятельность общества, то именно для этой цели паспортные данные, данные о месте жительства генерального директора не нужны.

Суд же сделал вывод о том, что исключение из предоставленной акционеру копии заключенного с генеральным директором трудового договора информации о размере его заработной платы и месте жительства (регистрации) является неправомерным. Суд подчеркнул при этом, что ознакомление с данной информацией может быть обусловлено необходимостью реализации права акционера на оспаривание такого договора, а также необходимостью обращения в суд с иском к нему в порядке корпоративного спора. По мнению суда, это в значительной мере влияет на права акционера, предусмотренные законодательством Российской Федерации.

Суд отказал ПАО ПКО «Теплообменник» в удовлетворении заявления

Первый арбитражный апелляционный суд в июне 2016 года оставил без изменения решение Арбитражного суда Нижегородской области.

Арбитражный суд Волго-Вятского округа в сентябре 2016 года оставил без изменения решение Арбитражного суда Нижегородской области и постановление Первого арбитражного апелляционного суда, а кассационную жалобу публичного акционерного общества Производственно-конструкторское объединение «Теплообменник» – без удовлетворения.

Мой комментарий: Учитывая, что с июня 2017 году ужесточаются наказания за нарушения закона «О персональных данных», вопросы о том, когда и в каких объемах можно раскрывать персональные данные третьим лицам, не имея на это письменного согласия гражданина, становится все более актуальным. Для всех заинтересованных сторон было бы полезно устранить все неоднозначности в этом вопросе (в том числе посредством уточнения положений законов и нормативных правовых актов), и обеспечить единообразие правоприменительной практики.