Оливер Грауберг: Эстония – одно из самых слабых звеньев Евросоюза в защите данных
Эстония приобретает печальную известность из-за своей пассивности при защите данных. В теории штрафы за злоупотребление данными могут быть устрашающими, на практике же Эстония – единственная страна, в которой за это не наказывают, пишет Оливер Грауберг.
Около двух недель назад (28 января – прим. ред.) отмечался день защиты персональных данных и, обсуждая с коллегой правовой и фактический уровень защиты у нас персональных данных, мы пришли к выводу, что праздновать нам особо нечего. По сравнению со странами-членами Евросоюза уровень защиты персональных данных у нас плетется в хвосте, и наши проблемы состоят не в "каких-то там" рисках для безопасности персональных данных наших собственных граждан, а в создании возможностей для злонамеренного распространения персональных данных всех европейцев.
Что значит злонамеренное распространение персональных данных? Я имею в виду продажу персональных данных без правового основания (например, согласия самого лица) лицам из-за пределов Европейского союза. Речь идет об очень затруднительных ситуациях, когда персональные данные начинают обрабатывать лицо или организация, которые очень сложно привлечь за это к ответственности.
Почему можно без моего согласия законно продавать персональные данные? Хороший вопрос. С юридической точки зрения, на данные, то есть информацию нельзя установить право собственности. Это значит, что ваши персональные данные вам не принадлежат. Никто не владеет фактами, например, что небо голубое или что меня зовут Оливер Грауберг. А вот базами данных (которые отличаются от просто данных своей систематической организованностью – закон желает защищать инвестиции, направляемые на составление баз данных) владеть можно. Речь идет об ограниченном праве интеллектуальной собственности, более подробно описанном в законе об авторском праве, но, по сути, владелец базы данных может запрещать или разрешать другим этой базой данных пользоваться. Это право можно продавать. Поскольку ваши персональные данные содержатся в базе данных, собственность на которую вам не принадлежит, постольку и для продажи такой базы данных ваше согласие не требуется, отсутствует у вас и возможность отменить такой договор.
Но разве общий регламент по защите персональных данных (известный также как IKÜM /ОРЗПД/GDPR) не должен такой деятельности препятствовать? И нет, и да. С одной стороны, право собственности на персональные данные не устанавливается и в GDPR. Это, скорее, кодекс деятельности – если вы занимаетесь обработкой персональных данных, то обязуетесь соблюдать конкретные требования, иначе угрожает штраф. Иными словами, GDPR регулирует в первую очередь реальные действия, в то время как договор продажи, по сути, представляет собой правоотношение. С другой стороны, и для выполнения договора продажи необходимо обрабатывать персональные данные – их следует предоставлять покупателю. Предоставление персональных данных как деятельность в GDPR регулируется, и тем самым предоставление персональных данных разрешается только при наличии правового основания (например, согласия лица). Последствие нарушения – штраф за предоставление данных без правового основания, но при этом договор продажи все-таки остается в силе. Идиотская ситуация, когда персональные данные переданы обоснованно, но за их предоставление, по меньшей мере, штрафуют.
Почему речь идет именно об эстонской проблеме? В общей картине GDPR гарантирует ощутимый размер штрафов и деятельность органов надзора как достаточный сдерживающий фактор, чтобы препятствовать такой деятельности, поскольку опасность штрафа превышает доход от продажи, но не в Эстонии, которая приобретает печальную известность из-за своей пассивности при защите данных. Хотя мы можем говорить об устрашающих штрафах в теории, на практике мы – единственное государство, не наложившее ни единого штрафа. Простите, два штрафа мы все-таки наложили: 48 евро за просмотр базы данных полиции – на служащего полиции и 56 евро за просмотр базы данных e-tervis на работника здравоохранения.
Речь идет о наших самых чувствительных базах данных, кого такие штрафы призваны устрашить? И мы не говорим здесь о том, что Инспекция по защите данных (AKI) должна выписывать мелким предпринимателям прямо-таки миллионные штрафы – сеять такую панику нет оснований. Уже сравнительно обширная европейская практика показывает, что размеры штрафов учитывают все обстоятельства, и подавляющее большинство штрафов GDPR все же четырех- или пятизначные. Да, если демонстрировать абсолютное пренебрежение к требованиям защиты данных или сознательно нарушать требования при обработке данных в очень большом объеме, то наказание будет строже – да и должно быть. Но, к сожалению, именно Эстония попала в положение, когда сдерживание при помощи штрафов как основной гарант обеспечения безопасности персональных данных не работает, ставя тем самым под угрозу данные всех европейцев.
Причин, по которым Эстония здесь отстает от других, две. Первая – наше правовое пространство в широком понимании, которое не позволяет налагать штрафы в рамках административного производства (в отличие от других стран-членов ЕС). В итоге сегодняшнее решение для наложения штрафов – это производство по делу о проступке. Но путем производства по делу о проступке привлечь к ответственности за нарушение очень сложно.
Во-первых, необходимо установить вину нарушителя без всякого сомнения, а это предполагает значительно большее бремя доказывания, чем в административном производстве. Уже потому, что обработка данных в нарушение требований защиты данных ведется скрытно и выполнение многих требований из-за декларативности GDPR является спорным, надежда привлечь кого-либо к ответственности очень невелика. Вторая проблема – производство по делу о проступке в отношении юридических лиц. Реальная опасность – не любопытство отдельных лиц, а системный произвол компаний при обработке персональных данных и торговля данными с целью получения прибыли. Но причина, по которой наши два штрафа были выписаны служащему полиции и работнику здравоохранения, а не ДППО и поставщику услуги здравоохранения, понятна – затруднения в производстве по делу о проступке. Хотя наказать юридическое лицо и можно, для этого необходимо, прежде всего, признать виновным какого-либо руководящего работника этой компании лично и после этого также доказать, что при нарушении этот работник действовал в интересах компании – опять-таки тяжелое бремя для AKI.
Хотя штрафы за проступки практически не налагались, в компетенцию AKI входит также наложение принудительного денежного взыскания для прекращения нарушений GDPR. Речь идет о самом близком к штрафу инструменте административного производства. Не зная наверняка, достигло ли какое-либо предупреждение о принудительном денежном взыскании со стороны AKI стадии фактического присуждения к уплате принудительного денежного взыскания (заметных сумм мне не попадалось), осмелюсь утверждать, что и при наложении принудительного денежного взыскания имеется много проблем.
Во-первых, присуждению к уплате принудительного денежного взыскания должно предшествовать предупреждение с назначением срока прекращения нарушения, что, по сути, сводит на нет какую бы то ни было функцию сдерживания – нарушитель может, действуя с умом, выйти сухим из воды даже тогда, когда его поймают. Во-вторых, принудительное денежное взыскание применяется только для того, чтобы принудить к прекращению нарушения. Вернемся к нашей проблемной ситуации – базы данных уже проданы, нарушение произошло, и прекратить его невозможно. Принудительное денежное взыскание применить нельзя. В отношении зарубежного покупателя, который продолжает нарушение, мы по большому счету ничего предпринять не можем. По этой причине я, в отличие от многих коллег, скорее доволен планом ввести в правопорядок Эстонии административные штрафы. Даже если в существующем виде проект еще "угловат", он преследует всячески необходимую цель, и промедление с планом скорее навредит государству.
Вторая причина, по которой отстает Эстония, – подход AKI к осуществлению надзора. Ведь возникает вопрос: если предупреждений о принудительном денежном взыскании сделано много, то обнаружено и много нарушений – почему не инициировано производство по делам о проступках? Инспекция по защите данных заявила, что их приоритет – по возможности не штрафовать, а поддерживать обработчиков данных, что кажется разумным, благоприятным для предприятий подходом, но до известного предела. В существующей ситуации у AKI осталось немного времени, чтобы продемонстрировать, что она все-таки является органом надзора, а не предприятием по консультированию. Видимо, причины пассивности кроются также в другом. Подозреваю, что внедрение GDPR не сопровождалось для AKI необходимыми дополнительными средствами, опираясь на которые можно было бы развивать компетентность и улучшать способность эффективного ведения производства по делам о проступках. Если это так, то почему AKI не были выделены дополнительные средства? Ведь дополнительные расходы можно было бы покрыть за счет проводимых в рамках надзора процессов.
Почему мы до этого дошли? Потому что игнорированию проблемы также находились оправдания. Главным образом, что любое усиление надзора и штрафов повредит нашей предпринимательской среде и что цель государства должна состоять в покровительстве предпринимательству, а не в притеснении его санкциями. Я считаю этот аргумент безосновательным, ведь сразу возникает вопрос – кого мы поддерживаем? В данном случае законопослушные и дорожащие защитой данных предприятия явно проигрывают: хотя контроль и обзор обработки данных у них лучше и в глазах общественности безопаснее, для обеспечения безопасности наших данных они вынуждены соблюдать ограничения, тогда как их более равнодушные конкуренты на них чихать хотели и пользуются этим для получения рыночного преимущества.
Во-вторых, какой международный имидж мы тем самым создаем действующим здесь предприятиям? Нельзя же ставить целью, чтобы, например, здешние ИТ-предприятия вынуждены были оправдывать свой бизнес в Эстонии вопреки низкому уровню защиты данных. Если на мгновение задуматься, какую предпринимательскую среду мы хотим иметь и каких предпринимателей здесь ждем, нет оснований утверждать, что более сильное правовое пространство и более эффективное правоприменение будут нашим предпринимателям препятствовать. И, видимо, нам и нужно было бы препятствовать деятельности тех, кто извлекает из сложившейся ситуации выгоду.
Может показаться, что описание ситуации драматизировано, однако при ежедневной работе в сфере ИТ-права и защиты данных в международной консультационной сети эта проблема становится все ощутимее. Более того, это всего лишь одна из наших проблем в сфере защиты данных, в следующий раз мы можем рассмотреть, например, проблематику правового пространства Эстонии в связи с web-cookies. Короче говоря: в смысле защиты данных мы плетемся в хвосте у других и, видимо, нашему имиджу диги-государства это не помогает. Надеюсь все же, что Эстония догонит ЕС, и я бы посоветовал не натыкаться, например, на занозы безопасности данных 5G и IoT (интернета вещей), пока у нас на шее все еще висит бревно очень несовершенного надзора.
Редактор: Андрей Крашевский