Москва: +7 495 234 4959 Санкт-Петербург: +7 812 740 5823 Лондон: +44 (0) 7384 418877

Сергей Гландин: Санкции США и персональные данные. Какой объем информации можно сделать публично доступным? Zakon.ru, 28 апреля 2018 года

При исполнении своих законных функций государственный орган США выложил в открытый доступ персональные данные фигуранта санкционного списка. По словам фигуранта, этим воспользовались злоумышленники, чем подпортили ему кредитную историю. Две инстанции судов США не нашли нарушений, однако оставили открытым вопрос об оптимальном количестве идентифицирующей информации и балансе между правами владельца персональных данных и законной деятельностью госоргана.

Друг, напарник и «брат» Виктора Бута

В апреле далёкого 2005 года в санкционный список США по нескольким основаниям попал гражданин США сирийского происхождения Ричард Чичакли. Одним из таких оснований стала установленная связь с Виктором Бутом, международным торговцем оружия. Другим – исполнительный указ Джорджа Буша младшего № 13348 от 22.07.2004 года, согласно которому беспредел и разворовывание природных ресурсов Либерии экс-президентом Чарльзом Тейлором представляет собой угрозу для США, для предотвращения которой в США объявляется чрезвычайная ситуация.

Управление по контролю за иностранными активами Минфина США (далее – Управление или OFAC) опубликовало уведомление о наложении ареста на имущество Чичакли (Blocking Notice, далее - Уведомление). Помимо имени, в Уведомлении были указаны следующие персональные данные:

- номер социальной страховки

- дата рождения

- псевдонимы

- домашний и рабочий адреса

- страна рождения.

В то время правовые последствия для лица от включения его в список граждан особых категорий и запрещённых лиц наступали с момента публикации Уведомления в Федеральном Реестре (Federal Register). Теперь – с момента появления информации о лице на сайте OFAC.

В том же 2005 году Управление передало всю имеющуюся у него информацию о Чичакли Государственному Департаменту США, который направил её в специальный комитет ООН для введения аналогичных санкций. ООН включила Р. Чичакли в Сводный санкционный перечень Совета Безопасности ООН, добавив к идентифицирующей информации номер его австралийского водительского удостоверения.

Ричард Чичакли пытался оспорить Уведомление как незаконное и исключиться из санкционного списка США в судах 5-го округа, однако потерпел неудачу. Затем он подал аналогичный иск в федеральный суд Округа Колумбия, однако производство по нему было прекращено в связи с наличием вступившего в законную силу судебного акта между теми же сторонами, о том же предмете и по тем же основаниям.

09 января 2013 года Чичакли был арестован в Австралии и выдан властям США.

В ноябре 2015 года президент Барак Обама объявил об окончании кризиса в Либерии и отменил в этой связи чрезвычайное положение. На этом основании фигурант был исключён из американского санкционного списка. До конца 2015 года большинство санкций с Либерии сняла и ООН.

Судебная битва за персональные данные

Коротая 5-летний срок тюремного заключения за соучастие в преступлениях Виктора Бута, Чичакли решил подать в суд на OFAC и Государственный Департамент США. В исковом заявлении он просил компенсацию убытков и судебное предписание Управлению об удалении его персональных данных. Основанием его требований стало нарушение Закона «О неприкосновенности частной жизни» (далее - Закон). По мнению заявителя, OFAC нарушило его положения, когда передало его персональные данные Госдепартаменту, а тот – при передаче их в ООН. Из-за этого он стал жертвой хищения персональных данных: на моё имя было открыто несколько банковских счетов, что очень сильно повредило моей кредитной истории. В результате чего, я не могу купить дом, арендовать жильё, получить кредит, работать, купить страховку или выполнить иные действия, которые требуют «проверки кредитоспособности».

19 августа 2016 года первая инстанция удовлетворила ходатайство ответчиков об отказе истцу в иске по основанию использования его персональных данных «в рамках своей обычной деятельности, осуществляемой в установленном порядке». Распространение личных данных Чичакли, включая номер его социальной страховки, полностью соответствует миссии OFAC по ведению и обеспечению соблюдения экономических санкций». Аналогично были отвергнуты претензии к Госдепартаменту о незаконном раскрытии номера водительского удостоверения истца: «такое не изменит общую картину, поскольку носители идентифицирующей информации (такие как паспорта, местожительство или информация о водительских правах)» ... относятся к видам информации о лицах, хранить и собирать которую Госдепартамент может в силу закона». В качестве альтернативного основания для отказа стало непредставление в материалы дела «конкретной информации о понесённых убытках и их расчёт».

При рассмотрении апелляционной жалобы Чичакли, суд в качестве основного сформулировал стоящий перед собой вопрос так: была ли личная идентифицирующая информация о Чичакли распространена госорганами в рамках их обычной законной деятельности? Ответ заключается в том, соответствует ли раскрытие персональных данных цели, для достижения которой они были собраны. Апелляционный суд признал, что соответствует, поэтому оставил в силе решение нижестоящего суда. Постановление было опубликовано 13 февраля 2018 года.

Когда имеет место нарушение при распространении персональных данных

Чтобы выиграть дело по основаниям нарушения Закона, истец должен доказать, что:

1) госорган нарушил положение Закона;

2) нарушение было намеренным или предумышленным; и

3) нарушение повлекло собой «негативные последствия» для истца в форме понесённого им реального ущерба.

Госорган считается нарушившим Закон, когда он «распространит» информацию в той же самой форме, как она хранится в «информационной системе персональных данных» органа власти и такое распространение не считается осуществлённым в соответствии с Законом.

В случае если перед судом будет поставлен вопрос о признании распространения персональных данных не соответствующим Закону, единственным вопросом для исследования должен стать: было ли такое распространение осуществлено в установленном законном порядке? Чтобы соответствовать критерию «в установленном порядке» распространение госорганом определённых персональных данных должно быть (i) «с целью, которая совместима с целью сбора персональных данных», и (ii) в форме и в объёме, в которых госорган обычно публикует аналогичную информацию.

В «санкционной» категории дел распространение персональных данных лица будет признано осуществлённым «в установленном порядке» если распространённые данные о лице по количественным и качественным характеристикам соответствуют первичному уведомлению о включении лица в санкционный список.

Стандарт раскрытия для целей комплаенса

Какие выводы спросите вы? Управление и Госдепартамент США могут разгласить о вас любую имеющуюся у них информацию и ничего им за это не будет. Суды США формально отнеслись к обязанностям госорганов по обработке персональных данных фигурантов санкционного списка и сместили баланс в пользу интересов государственных органов. Несмотря на это, они не ответили на вопрос: сколько же персональных данных необходимо для целей комплаенса? А вопрос актуален не только для США, но и для России. Если указать ФИО лица, дату рождения и паспортные данные – нужно указывать данные его загранпаспорта? Если указано ФИО, дата и место рождения, а также ИНН – нужно ли ещё СНИЛС и номер водительского удостоверения. Данный вопрос характерен не только для американских госорганов. У нас тоже есть чёрный список Росфинмониторинга. Но там указано ФИО, дата рождения и место жительства. А этого может быть недостаточно для идентификации. Какие данные нужны комплаенс-менеджеру российского банка чтобы из всех Ивановых Иван Ивановичей идентифицировать нужного, а африканские умельцы не использовали излишние данные в своих незаконных интересах?

Сергей Гландин, специальный советник по санкционному праву

Источник