Персональні дані як засіб задоволення інтересів кредиторів банкрута: досвід ЄС і США

У загальному в процесі банкрутства можливо виділити кілька груп персональних даних, щодо яких застосовується різне регулювання:

• персональні дані клієнтів компанії;
• персональні дані робітників компанії, що зібрані для внутрішнього використання;
• персональні дані боржників і кредиторів, зібрані під час здійснення арбітражним керуючим чи ліквідатором своїх повноважень;
• персональні дані керівників компанії, які містяться у публічних реєстрах.

Ця робота стосується лише першої серед виділених груп персональних даних. У цій роботі я оглядово торкаюсь окремих питань обсягу даних, що вважаються персональними у різних правопорядках, а також регулювання відчуження цих категорій персональних даних у США та ЄС. Ця робота не має на меті охопити у деталях всі питання, а лише окреслити напрямки подальших досліджень.

Поняття та зміст персональних даних у законодавствах США, ЄС і України

Національне бюро стандартів США визначає personal identifying information (PII) як

any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.

Серед прикладів NIST наводить ім’я (повне, дівоче, дівчое матері, псевдонім), персональні ідентифікаційні номери (соціального страхування, паспорта, водійського посвідчення, платника податків, пацієнта, фінансового рахунку чи кредитної карти), дані про адресу (місця проживання, електронна пошта), постійний ідентифікатор пристроїв (IP, MAC, інші постійні номери технічних приладів), номери телефонів (мобільного, робочого, персонального), особисті хаарктеристики (фотографія обличчя чи вирізняльних рис, рентген, відбитки пальців, голосовий підпис, впізнання обличчя тощо), дані про особисте майно (номер реєстрації автомобіля, номер кадастрового запису тощо), та інша інформація про особу, яка може поєднуватися чи поєднана з будь-якою з-поміж перерахованої (дата народження, місце народження, раса, належність до релігії, маса тіла, рід зайнятості, географічні індикатори, інформація про працевлаштування, медична, освітня, фінансова інформація).

У США дані, що вважаються персональними, перераховуються у ст. 101(41) Кодексу законів США (the U.S. Code, U.S.C.), і включають в себе ім’я (або ініціали) та прізвище особи (дане при народженні чи під час усиновлення, або отримане внаслідок законної зміни імені), географічна адреса фізичного місця проживання такої особи, електронна адреса (включно з електронною поштою) особи, номер телефону для зв’язку з особою чи з місцем проживання особи, номер соціального страхування, номер рахунку чи кредитної карти, дата народження, номер свідоцтва про народження чи усиновлення, місце народження, та будь-яка інша інформація, що стосується особи, яка у випадку розкриття може потягнути за собою зв’язок з особою засобами фізичного світу або через електронні мережі.

Слід врахувати, що акти регулювання, що стосується персональних даних, у США розподілені в залежності від галузі, де таке регулювання застосовується. Наприклад, окремі акти федерального рівня діють для фінансових інституцій, закладів охорони здоров’я, рекламних агентств тощо. Наприклад, Gramm-Leach-Bliley Act встановлює наступний перелік “непублічної персональної інформації” (nonpublic personal information), до якої входять: номер соціального страхування, кредитна історія та історія доходів, номера кредитних і банківських карт, номери телефонів, адреси, імена та інша персональна інформація, що  отримується фінансовою установою і не є публічною. Фінансова установа зобов’язана створити документ (план інформаційної безпеки), у якому описується процедура захисту інформації, отриманої від клієнтів, що відповідає саме цій інституції та чутливості отриманої інформації.

Нормальною практикою середніх і великих підприємств США є створення різноманітних політик приватності. Зазвичай у цих політиках вказується обсяг зібраних даних, коло суб’єктів даних, мета збору та обробки, термін обробки, способи обробки і процедури захисту: обмеження доступу, використання спеціального програмного забезпечення або техніки, призначення відповідальних співробітників тощо. Також у цих політиках вказується, наскільки чутлива ця інформація, і що компанія має зробити з нею у випадку ліквідації.

У ЄС поняття і обсяг даних, що вважаються персональними, містяться у двох актах:

1. Загальний регламент з питань захисту персональних даних (General Data Protection Regulation, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.
2. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.

Визначення персональних даних у обох актах збігаються:

any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person

ЄС у законодавстві пішли іншим шляхом, аніж США: не перераховуючи конкретні види інформації, що підлягають захисту, європарламентарі виділили групи, до яких персональні дані можна віднести і цим забезпечити їх захист. Наприклад, найбільш загальними групами будуть “персональні дані” та “чутливі дані”, при цьому чутливі дані виділяються лише особливим порядком їх отримання, обробки і захисту. Другий порядок розділення – вже на рівні окремих груп:

• У загальній групі персональні дані поділяються на такі, що (1) належать ідентифікованій особі чи (2) такій, яку на підставі цієїі інформації можливо ідентифікувати (і сюди включаються підгрупи даних про ім’я, ідентифікаціний номер, дані про місцезнаходження, онлайн-ідентифікатори, чутливі дані)
• Всередині групи чутливих даних на підставі ст. 9 Регламенту виділяються дані про расове чи етнічне походження, політичні погляди, релігійні чи філософіські погляди, належність до профспілки, відомості про участь у кримінальних провадженнях, генетичні дані, біометричні дані, дані про здоров’я особи, її сексуальне життя та сексуальну орієнтацію.

В Україні персональним даним присвячений Закон України від 1 червня 2010 р. №2297-VI “Про захист персональних даних”. Слід зауважити, що він був прийнятий на основі адаптування до української правової системи Директиви 95/46/ЕС про захист персональний даних (яка діяла до вступу у силу Загального регламенту про захист персональних даних 25 травня 2018 р.).

Закон визначає персональні дані як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. До чутливих даних (цей термін у Законі не згадується, але склалась практика називати саме так ту персональну інформацію, яка вимагає особливого режиму під час обробки) за Законом відносяться ті ж дані, що згадуються у Директиві та Регламенті.

У США питаннями захисту персональних даних займаються Федеральна комісія з торгівлі (FTC) та органи з питань захисту споживачів. У ЄС цим займаються керівні органи з питань захисту персональних даних (Data Protection Authorities, або DPA). В Україні звернення споживачів та підприємців щодо захисту персональних даних належать до компетенції Уповноваженого Верховної Ради України з прав людини та суди.

Персональні дані клієнтів компанії-боржника: досвід США

Бази даних з інформацією щодо клієнтів давно вже вважаються цінним активом компанії. Зрозуміло, що у випадку банкрутства цей актив конкурентами банкрута може оцінюватися надзвичайно високо, і може бути складовою ліквідаційної маси. Звичайною практикою при продажу цього активу є врахування таких аспектів:

• покупець активу у переважній більшості належить до тієї ж сфери підприємницької діяльності, що і продавець;
• покупець зв’язаний тими ж умовамита обмеженнями політик конфіденційності, що і продавець;
• клієнти продавця мають право відмовитися від того, щоб їхні дані передавалися.

У США питання щодо приватності даних про клієнтів підприємств-банкрутів з 2005 року врегульовані у Кодексі про банкрутство США (Bankruptcy Code, або Title 11 of the U.S. Code).

Стаття 363(b)(1) Кодексу про банкрутство США встановлює загальну заборону продажу або надання у користування (далі у цьому підрозділі просто “передача”) персональної ідентифікаійної інформації, якщо це суперечить внутрішній політиці компанії-боржника щодо приватності. Разом з тим, цю інформацію можна передати у тому випадку, якщо це відповідає такій політиці, або ж якщо дозвіл на передачу персональних даних призначеного омбудсмана у питаннях приватності споживачів (consumer privacy ombudsman) підтримується судом. Забороняється розкривати імена неповнолітніх дітей у публічних реєстрах (ст. 112) та розкривати матеріали скандального чи наклепницького змісту, що може призвести до виникнення ризики викрадення особистості (identity theft) и іншої шкоди особі (ст. 107(b)). Спеціальний режим встановлюється щодо даних про пацієнтів закладів охорони здоров’я (ст. 351).

Ст. 332 Кодексу вказує, що омбудсман призначається судом, що розглядає справу про банкрутство, з числа незацікавлених осіб. Він має надавати суду інформацію про політику конфіденційності компанії-боржника, потенційну шкоду чи користь приватності і втрати та прибутки споживачів послуг боржника, якщо суд надасть згоду на передачу даних про них, а також про можливі альтернативи, що можуть знизити витрати та підвищити прибутки споживачів. Омбудсман не повинен розкривати будь-яку розкриті йому внаслідок участі у процесі ліквідації персональні дані. Зазвичай це професійний арбітражний керуючий, або службовець Федеральної комісії з торгівлі.

Взагалі судова практика щодо даних про споживачів як актив у США почалась зі справи Toysmart.com. У 2000 р. керівництво інтернет-магазину Toysmart.com намагалось продати інформацію про своїх клієнтів (імена, адреси, смаки щодо окремих товарів, імена дітей та іншу сімейну інформацію) третій особі як актив під час власної ліквідації. Федеральна комісія з торгівлі подала позов до федерального суду до керівництва магазину на підставі того, що у своїй політиці приватності Toysmart.com обіцяла покупцям “ніколи не передавати інформацію третім особам”. В результаті сторони домовились передати ці дані не як окремий актив, а у складі майнового комплексу, однак лише “кваліфікованому покупцю”, який продовжуватиме займатися цим бізнесом і не буде його припиняти і буде зобов’язаний отримати пряму згоду клієнтів до внесення суттєвих змін до політики приватності. Такі заходи, очевидно, були необхідні для того, щоб знизити кількість потенційних покупців та мету використання таких даних підприємствами у інших сферах бізнесу.

У справі про банкрутство Borders Group Комісія у листі до суду зауважила, що політики конфіденційності (яких на сайті належній компанії Borders Bookstore було аж три – це були оновлення різних років, але не три окремих документа) передбачали передання персональних даних лише зі згоди користувачів і з обмеженнями щодо передачі і подальшого використання цієї інформації. Суд же у свою чергу зобов’язав продавця і покупця даних надіслати користувачам електронного листа з повідомленням про таку передачу і указанням строку на відмову від передачі своїх даних, а також указати про це на своїх сайтах і пустити рекламне оголошення у одній з газет США.

При банкрутстві компанії RadioShack компанія виставила на акціон списки своїх клієнтів з вказаними ними адресами електронних пошт та історій покупок, як частину іншої інтелектуальної власності компанії. З огляду на те, що у своїй політиці конфіденційності компанія-боржник обіцяла своїм клієнтам, що надані ними дані будуть використовуватися виключно для надання послуг компанією та її афілійованими підприємствами, які уклалли аналогічні угоди про збереження приватності з компанією-боржником. Також компанія окремо повідомляла клієнтів про те, що вона не продає списки розсилки (mailing lists). НЕзважаючи на те, що перед аукціоном омбусдман був призначений, Комісія та прокурори штатів втрутились у процедуру продажу з вимогою припинити порушення близько 36 місцевих законів про захист споживачів, та зауваженням про те, що такий продаж порушує не лише політику конфіденційності, а і становить несправедливу і обманну практику (іншими словами, порушує конкуренцію, захистом якої опікується Комісія у всіх можливих проявах її діяльності). Щоб пом’якшити опір виконавчої влади та зберегти ринок продажу цього виду інтелектуальної власності, омбудсман запропонував обмежити коло можливих покупців та обсяг даних до передачі (включити лише електронні пошти покупців, що були активні за минулі два роки до передачі даних та залишити за споживачами можливість заборонити передачу своїх даних, а також заборонити покупцю даних продавати їх далі чи надавати до них доступ третім особам). З огляду на всі ці заходи, багато даних були знищені, що, відповідно, вплинуло і на вартість цього активу. Аналогічно почалась і справа Crumbs Bake Shop, однак внаслідок того, що у політиці конфіденційності компанія перераховувала конкрентні обставини, за яких вона може передавати дані, і продаж в них не входив, то омбудсману і суду необхідно було оцінити потенційні втрати і прибутки споживачів дуже уважно.

Персональні дані: проблемні питання у практиці регулювання ЄС

Європейські фахівці у сфері банкрутства отримують нові зобов’язання та права з огляду на зміну їхнього статусу. Коли арбітражний керуючий або професіонал зі схожими повноваженнями вступає у процес банкрутства, спочатку необхідно встановити його статус як контролера або обробника. Головною різницею між двома поняттями є те, що контролер приймає рішення щодо мети і способів обробки персональних даних, а обробник під час взаємодії з даними виконує лише прямі вказівки контролера. У випадку даних про клієнтів компанії-боржника, керуючий діятиме, на мою думку, як агент компанії, тобто матиме повноваження обробника; однак у тому випадку, якщо з цими персональними даними буде працювати ліквідатор, він може нести функції контролера, при чому контролера одноосібного, і всі обов’язки щодо збереження персональних даних та взаємодії зі споживачами і органами лягатимуть саме на нього. Разом з тим, на рівні національних судів немає однозначної практики визнання арбітражних керуючих контролерами: у справі Re Southern Pacific Personal Loans Ltd Вищий Суд Об’єднаного Королівства зауважив, що є різниця між діяльністю арбітражних керуючих як ліквідаторів і як агентів компанії, що знаходяться у процесі ліквідації; і якщо вони діють як ліквідатори, то тоді і лише тоді набувають статусу контролера даних (а також зобов’язаний зареєструватися як такий у наглядовому органі). Якщо ж менеджмент компанії зберігає за собою управління компанією (під час неплатоспроможності) – керуючий не набуває такого статусу і працює лише як обробник. У цій справі суд встановив, що керуючий не є контролерами щодо тих персональних даних, що були зібрані до ліквідації компанії-боржника.

Взаємодіяти з персональними даними, накопиченими підприємством-боржником, арбітражний керуючий може на підставах (з визначених у ст.6 Регламенту) законного інтересу, законного припису (наприклад, ухвали чи рішення суду) чи виконання завдань, що становлять особливий публічний інтерес. Також він може діяти на основі згоди суб’єкта даних, але отримати згоду кожного суб’єкта даних буде ще додатковим складним обов’язком, що лягатиме радше як тягар і додатково ускладнюватиме процедуру банкрутства.

Судова практика на території ЄС більше зосереджена на національному рівні. Наприклад, у Англії у справі Re Bernard L Madoff Investment Securities LLC Вищий Суд (High Court) дозволив передачу персональних даних як частину танснаціональної реструктуризації, але за тієї умови, що арбітражний керуючий має переконатися, що будь-який отримувач цих переміщених даних зобов’язаний бути у комплаєнсі з європейським законодавством про захист персональних даних на тому ж рівні, що і компанія-банкрут, і має змогу продемонструвати це.

З огляду на те, що GDPR, як і попередня Директива, не обмежували продаж персональних даних, залишаючи регулювання пулу даних і його кваліфікацію як актив чи об’єкт інтелектуальної власності згідно з національним законодавством на розсуд країн-учасниць, судова практика наразі є мінімальною. В основному питання, які можуть вирішуватися Судом Справедливості, стосуватимуться, на мій розсуд, переміщення даних поза мені ЄС, підстав їх отримання і обробки (існує певна неочевидна проблема конфлікту інтересів суб’єктів даних і компанії, які перекриваються занадто широкою вуаллю legitimate interests), та обробкою персональних даних з метою розміщення у публічних реєстрах (але це стосуватиметься вже оскарження дій держав у особі їх публічних органів, а не компаній у стані банкрутства). Прикладом останнього може бути справа Camera di Commercio,Industria, Artigianato e Agricoltura di Lecce v Salvatore Manni (попереднє рішення Другої Палати), у якій містер Манні, як керівник будівельної компанії, оскаржував рішення італійської торгівельної палати включити дані про нього як єдиного директора і ліквідатора іншої компанії у реєстр компаній Італії. Через наявність таких даних, як стверджував містер Манні, він міг втратити замовлення внаслідок того, що потенційні клієнти знижуватимуть його оцінку як потенційного партнера внаслідок наявності цих даних у публічних реєстрах. Однак національний суд відмовив у його проханні, посилаючись на імперативні норми італійського закону, і суд ЄС підтримав рішення національного суду.

Висновки

Якщо традиційно локомотивом захисту персональних даних традиційно вважалися США, то після прийняття Регламенту 2016/680 (GDPR) центр розвитку права приватності змістився. Незважаючи на співмірно м’якший підхід до охорони персональних даних, який застосовується у США, норми Регламенту викликають загальне несхвалення, оскільки вони направлені на масове і серйозне переосмислення нашої приватності у епоху надзвичайно доступних технік відновлення псевдонімізованої інформації та доступу до надзвичайно цінних ресурсів компанії – даних про її клієнтів.

Однак персональні дані не слід розглядати лише як нерухомий пласт на серверах та архівних полицях: це актив, який дійсно є результатом інтелектуальних зусиль, який в силу обробки для маркетингових і рекламних цілей може набувати і достатньо креативної обробки і використання для практичних і наукових цілей. Тому логічно розглядати масиви накопичених даних про осіб як цінний об’єкт, який компанія-конкурент буде зацікавлена купити, оскільки це прямий шлях до побудови маркетингових і, в результаті, нових бізнес-стратегій.  Тому оxевидно, що якщо процес продажу даних не врегульювати, він залишиться у сірій зоні, але приноситиме користь не кредиторам банкрута, а шахраям, недобросовісним працівникам або менеджменту компанії-банкрута як складова економічного шпіонажу.

Україна поки не є передовою країною у сфері захисту персональних даних, тому релевантним для нас є огляд і запозичення найкращих світових практик. Поєднання у національному законодавстві гнучкого підходу США до продажу персональних даних клієнтів як активу, який вимагає особливого поводження, та високих стандартів ЄС щодо захисту таких даних від використання даних у шкоду суб’єктам даних і є, на мою думку, основним вектором розвитку більшості національних законодавств у цій сфері у майбутньому