Casual
РЦБ.RU
  • Автор
  • Петрова Ольга, Заместитель генерального директора, директор департамента технологий и развития ЗАО "Иркол"

  • Все статьи автора

Регистраторы, депозитарии, специализированные депозитарии как операторы персональных данных

Сентябрь 2008

27 июля 2006 г. Президентом РФ с целью реализации норм Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных", ратифицированной Россией 19 декабря 2005 г., был подписан Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", который вступил в силу в январе 2007 г. В статье сделана попытка проанализировать, распространяется ли действие данного Закона на инфраструктурные институты рынка ценных бумаг.

В соответствии с Законом № 152-ФЗ необходимо внедрять сложные дорогостоящие технологии и системы защиты информации. Открытым остается вопрос: на чьи плечи ляжет финансовая нагрузка такого внедрения? Поскольку и регистраторы, и депозитарии являются коммерческими организациями, рост затрат не может не отразиться на росте тарифов для эмитентов, управляющих компаний и депонентов.

Основные положения Закона "О персональных данных"

Понятию "персональные данные" человека Закон № 152-ФЗ дает емкое определение, соответствующее определению, закрепленному в Конвенции. Персональными данными "человека и гражданина" считается "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу... в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация". Перечень при этом не является исчерпывающим, поскольку, исходя из самой природы персональных данных, полностью их перечислить довольно сложно. Закон содержит также понятие "оператор", под которым понимается лицо, в том числе и юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. Обработкой персональных данных признаны "действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных" (ст. 3 Закона "О персональных данных").

Под определение оператора и в сферу действия Закона "О персональных данных" подпадают и регистраторы, осуществляющие ведение реестров владельцев акций и владельцев инвестиционных паев, а также депозитарии, имеющие депонентов — физических лиц, и специализированные депозитарии, выступающие в качестве лиц, осуществляющих ведение реестра владельцев инвестиционных паев. Все эти профессиональные участники рынка ценных бумаг осуществляют обработку персональных данных физических лиц.

В соответствии с Федеральным законом "О рынке ценных бумаг" деятельностью по ведению реестра владельцев ценных бумаг признаются сбор, фиксация, обработка, хранение и предоставление данных, составляющих систему ведения реестра владельцев ценных бумаг. А под системой ведения реестра владельцев ценных бумаг понимают совокупность данных, обеспечивающую идентификацию зарегистрированных в системе ведения реестра номинальных держателей и владельцев ценных бумаг и учет их прав в отношении ценных бумаг, зарегистрированных на их имя, позволяющую получать и направлять информацию указанным лицам и составлять реестр владельцев ценных бумаг.

Реестр владельцев инвестиционных паев — система записей о паевом инвестиционном фонде, об общем количестве выданных и погашенных инвестиционных паев этого фонда, о владельцах инвестиционных паев и количестве принадлежащих им инвестиционных паев, номинальных держателях, об иных зарегистрированных лицах и о количестве зарегистрированных на них инвестиционных паев, дроблении, приобретении, обмене, передаче или погашении инвестиционных паев.

Депозитарной деятельностью признается оказание услуг по хранению сертификатов ценных бумаг и/или учету и переходу прав на ценные бумаги. В состав материалов депозитарного учета должен быть включен такой учетный регистр, как анкета клиента (депонента), следовательно, его персональные данные.

Ни регистраторы, ни депозитарии, ни специализированные депозитарии не попадают под исключения, на которые не распространяется действие Закона "О персональных данных" (п. 2 ст. 1). Список изъятий — закрытый. В него включены только обработка персональных данных физическими лицами в ходе личной или бытовой деятельности и обработка данных, связанные с государственной тайной, единым реестром индивидуальных предпринимателей и Архивным фондом РФ. Иная обработка попадает в сферу действия Закона.

Основу Закона "О персональных данных" составляют базовые принципы и условия обработки персональных данных, которые соответствуют принципам и критериям, касающимся персональных данных и легитимизации их обработки, установленным в ст. 6 и 7 Директивы 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных.

Статья 5 Закона "О персональных данных" устанавливает 6 принципов обработки персональных данных, защищающих персональную информацию человека, которые схожи с принципами, содержащимися во многих европейских правовых актах.

Во-первых, персональные данные необходимо собирать и использовать законно и добросовестно, т. е. в соответствии с законодательством РФ и только с согласия субъекта персональных данных, но за исключением условий, четко оговоренных в ч. 2 ст. 6 Закона № 152, при соблюдении которых такое согласие не требуется.

В соответствии с пп. 1 п. 2 ст. 6 Закона № 152 согласие субъекта персональных данных не требуется, в случае если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Это условие выполняется для регистраторов и депозитариев, а также специализированных депозитариев, так как их деятельность полностью основывается на Законах "О рынке ценных бумаг" и "Об инвестиционных фондах". Соответственно, не требуется согласия субъектов персональных данных (акционеров, депонентов или владельцев инвестиционных паев) на обработку их персональных данных при ведении реестров или при осуществлении депозитарной деятельности. Для депозитариев выполняется также второе условие п. 2 ст. 6 — обработка персональных данных осуществляется в целях исполнения депозитарного договора, одной из сторон которого является субъект персональных данных (депонент), а второй стороной — депозитарий.

Во-вторых, заранее четко определенные цели использования персональных данных не должны изменяться.

В-третьих, объем, характер и способы обрабатываемых персональных данных должны соответствовать целям обработки персональных данных. Эта норма направлена на исключение ситуаций, когда при сборе персональных данных пытаются получить иную персональную информацию, выходящую за рамки объявленных целей.

В-четвертых, персональные данные должны быть достоверными, а объем собираемой персональной информации должен быть оправдан целями ее сбора. Объем собираемых персональных данных не должен быть избыточным, если это не соответствует определенным и законным целям. При этом, если обнаружено, что были допущены ошибки и персональные данные неточны, субъекту персональных данных принадлежит право внести необходимые изменения.

В-пятых, закон запрещает объединение персональных данных, которые были собраны операторами для разных целей, в единую информационную систему персональных данных.

В-шестых, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Права субъекта персональных данных и обязанности оператора

Основным правом субъекта персональных данных является право на доступ к своим персональным данным и сведениям об операторе. Регистраторы и депозитарии дают возможность акционерам, владельцам инвестиционных паев и депонентам получить указанную информацию, в частности об операторе посредством механизма раскрытия информации, в том числе на официальном сайте оператора, на всех бланках исходящих документов регистратора и депозитария. По установленным формам запросов (содержащимся в Правилах ведения реестра и Условиях осуществления депозитарной деятельности), а также по запросам в свободной форме зарегистрированное лицо или депонент могут получить сведения о своих персональных данных.

В обязанности оператора входят осуществление необходимых организационных и технических мер для обеспечения безопасности персональных данных при их обработке, предоставление субъекту персональных данных информации о его персональных данных.

В соответствии со ст. 19 Закона № 152 требования к обеспечению безопасности персональных данных устанавливаются Правительством Российской Федерации в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденном Постановлением № 781 от 17 ноября 2007 г.

В соответствии с Постановлением мероприятия по обеспечению безопасности персональных данных включают:

  • определение угроз безопасности персональных данных и формирование модели угроз;
  • разработку на основе модели угроз системы защиты персональных данных;
  • проверку готовности средств защиты информации к использованию;
  • обучение персонала правилам работы со средствами защиты информации;
  • учет применяемых средств защиты информации и носителей персональных данных;
  • учет лиц, допущенных к работе с персональными данными;
  • контроль за соблюдением условий использования средств защиты информации;
  • реагирование на нарушение режима защиты персональных данных;
  • описание системы защиты персональных данных.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора (средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру соответствия).

С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, проводится классификация информационных систем. Порядок такой классификации установлен совместным Приказом Федеральной службы по техническому и экспортному контролю (№ 55), Федеральной службы безопасности Российской Федерации (№ 86) и Министерства технологий и связи Российской Федерации (№ 20) от 13 февраля 2008 г.

В указанном порядке информационные системы классифицируются по нескольким критериям. По характеристикам безопасности персональных данных они подразделяются на типовые и специальные.

Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы — системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Исходя из специфики данных (в том числе подтверждающих права собственности на ценные бумаги), хранящихся в системах ведения реестров и депозитарных системах, можно предположить, что информационные системы регистратора и депозитария относятся к специальным информационным системам.

Также Законом "О персональных данных" предусмотрена необходимость уведомления уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку этих сведений. Пункт 2 ст. 22 определяет ряд исключений, в том числе оператор вправе осуществлять данную процедуру без уведомления уполномоченного органа по защите прав субъектов персональных данных, если эта информация не распространяется, а также не предоставляется третьим лицам без согласия субъекта персональных данных и используется оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. К этому исключению можно отнести депозитарии, которые предоставляют услуги депонентам исключительно на основании договора, в котором прописаны все права и обязанности и неотъемлемой частью которого являются Условия осуществления депозитарной деятельности.

В заключительных положениях Закона "О персональных данных" указано, что информационные системы персональных данных, созданные до дня вступления в силу настоящего Закона, должны быть приведены в соответствие с его требованиями до 1 января 2010 г.

Подводя итог, можно составить следующий порядок действий. Операторы информационных систем обязаны:

  • уведомить Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия о своем намерении осуществлять обработку персональных данных;
  • принять организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения;
  • провести классификацию информационной системы персональных данных с оформлением акта;
  • до 1 января 2010 г. создать Систему обеспечения безопасности информации и реализовать комплекс мер по защите персональных данных;
  • пройти оценку соответствия информационных систем персональных данных требованиям безопасности.

Содержание (развернуть содержание)
Обновленный рынок
Рынок негосударственного пенсионного обеспечения: конкуренция или олигополия?
НПФы - организации социального обеспечения, а не финансовые пирамиды
О возможных вариантах оптимизации отчетности на РКИ
Администрирование паевых инвестиционных фондов. Выдача, обмен и погашение инвестиционных паев
Регистраторы, депозитарии, специализированные депозитарии как операторы персональных данных
Администрирование паевых инвестиционных фондов.
Информационные технологии для паевых фондов
Новые инвестиционные стратегии управляющих компаний
Инвестиции в недвижимость и девелопмент
Инвестиции в корпорации (прямые и венчурные)
Инвестиции в иностранные активы
Инвестиции в долговые инструменты
Инструменты срочного товарного рынка: новые возможности для инвестиционных фондов
Костюм, сшитый по размерам клиента: новые торговые идеи для инвесторов
Вложения в паи зарубежных фондов
Выбор УК: ПИФы для квалифицированных и неквалифицированных инвесторов
Управление активами в период высокой инфляции
Управление пенсионными накоплениями: жажда перемен
Создание и функционирование ЗПИФов в условиях нового нормативного регулирования

  • Статьи в открытом доступе
  • Статьи доступны на платной основе
Актуальные темы    
 Сергей Хестанов
Девальвация — горькое лекарство
Оптимальный курс национальной валюты четко связан со структурой экономики и приоритетами денежно-кредитной политики. Для нынешней российской экономики наиболее логичным (и реалистичным) решением бюджетных проблем является девальвация рубля.
Александр Баранов
Управление рисками НПФов с учетом новых требований Банка России
В III кв. 2016 г. вступили в силу новые требования Банка России по организации системы управления рисками негосударственных пенсионных фондов.
Варвара Артюшенко
Вместе мы — сила
Закон синергии гласит: «Целое больше, нежели сумма отдельных частей».
Сергей Майоров
Применение blockchain для развития биржевых технологий и сервисов
Распространение технологий blockchain и распределенного реестра за первоначальные пределы рынка криптовалют — одна из наиболее дискутируемых тем в современной финансовой индустрии.
Все публикации →
  • Rambler's Top100