Спор между Вильяндиской больницей и Инспекцией по защите данных (AKI) о законности образцов мочи – еще один пример того, как защита данных может оторваться от практической жизни и стать отталкивающим бременем. Решение Государственного суда, опубликованное в первых числах июня, подтверждает, что рассматриваемое дело уже не просто вопрос надзора за защитой данных, а нарушение принципов административной процедуры и акт административного преследования.

Дело началось в 2023 году, когда Вильяндиская больница взяла образцы мочи у своих сотрудников в связи с пропавшими психотропными препаратами. AKI установила, что взятие образцов и последующая обработка персональных данных сотрудников не соответствовали требованиям защиты персональных данных, и инициировала надзорное производство.

В какой-то момент надзорное производство переросло в производство по делу о правонарушении, которое завершилось для больницы штрафом в размере 40 000 евро. Вильяндиская больница обратилась в суд и выиграла во всех инстанциях. Разбирательство завершилось недавним постановлением Госсуда, в котором прямо говорилось, что AKI необоснованно затягивало сроки и игнорировало надлежащую административную практику.

Несколько случаев с похожими результатами

Европейский союз все больше подчеркивает необходимость упрощения правовой базы и сокращения ненужного административного бремени. Общий регламент по защите данных (GDPR) не является исключением.

Председатель Европейской комиссии Урсула фон дер Ляйен недавно объявила, что правила защиты данных будут смягчены для поддержки инноваций и сокращения необоснованных препятствий на пути к достижению общественных целей.

К сожалению, похоже, что в Эстонии защита данных развивается в противоположном направлении. Деятельность AKI все чаще рассматривается не как содействие защите персональных данных, а как административное преследование. Это вызывает неповиновение у людей и предприятий, и вместо того, чтобы защищать конфиденциальность по существу, они все больше занимаются выполнением защиты конфиденциальности.

AKI все чаще занимается делами, которые не имеют существенного веса или разбирательства по которым занимают неоправданно много времени и заканчиваются пустым результатом.

Мы упомянули дело Вильяндиской больницы, но другое дело в сфере здравоохранения закончилось год назад, когда AKI наложило на Ида-Таллиннскую центральную больницу штраф в размере 200 000 евро. Штраф был наложен, потому что документы, содержащие персональные данные, были найдены в мусорном баке больницы. Разбирательство затянулось настолько, что суд в конечном итоге отменил решение из-за истечения срока давности. Штраф остался неналоженным, и существенного решения достигнуто не было.

Третий пример – дело Pere Sihtkapital 2023 года, в котором AKI наложил штраф в размере 30 000 евро за несанкционированную обработку данных. В прошлом месяце Харьюский уездный суд отменил этот штраф, а в понедельник Государственный суд решил вообще не рассматривать апелляцию AKI. Таким образом, у всех участников остался неприятный осадок от защиты данных: предприниматель видит в этом помеху, "пострадавшие" – потерю конфиденциальности, должностные лица – поражение, а общество – пустую трату государственных денег.

Когда защита выходит за рамки

Одной из целей защиты данных является обеспечение эффективной защиты прав отдельных лиц. Если общество видит, что правила защиты данных действительно помогают защищать конфиденциальность и в то же время помогают обществу лучше функционировать, то соблюдение этих правил значительно повышается. Интерпретация правил – это прежде всего обязанность надзорных органов.

Чтобы не перегружать AKI, мы признаем, что усердие надзорных органов в других странах также начинает работать против его изначальной цели. Примером может служить немецкое допинговое дело. Национальное антидопинговое агентство (NADA) отказалось публиковать имена спортсменов, наказанных за допинг, сославшись на защиту персональных данных и связанные с этим юридические требования.

Другой яркий пример также из Германии, где список офицеров запаса был засекречен, сославшись на защиту данных в качестве оправдания, хотя доступность этой информации была бы важна для ассоциации офицеров запаса. Последнее явно подрывает национальную безопасность. Вышеизложенное, в свою очередь, иллюстрирует, что защита данных иногда может служить целям, которые не учитывают практические потребности конкретных ситуаций и реальной жизни.

В случае с Вильяндиской больницей AKI также не приняла во внимание реальную жизненную ситуацию. В Эстонии сотни тысяч трудовых отношений, и не следует предполагать, что во всех этих отношениях работодатель плохой, а работник подобен рабу, который не имеет права выражать свою волю.

Суд, отменив решение AKI, установил, что и в трудовых ситуациях правовым основанием для обработки персональных данных может быть согласие работника. В случае, если оно было дано добровольно и сознательно.

Правда, в принципах Европейского совета по защите данных и судебная практика в целом подчеркивают, что к согласию, данному в трудовых отношениях, следует относиться с большой осторожностью, поскольку существует риск давления со стороны работодателя на работника. Однако в деле Вильяндиской больницы с самого начала существовало сотрудничество между работниками и работодателем, взаимопонимание и более высокая цель – обеспечение безопасности пациента. Поэтому процедура AKI с самого начала имела сомнительную перспективу.

Административный барьер как институциональная проблема

Административный барьер часто может проявляться в виде чрезмерной, несколько громоздкой и непропорциональной бюрократии. В ситуации, когда основное внимание уделяется делам, рассмотрение которых фактически не приводит к улучшению ситуации с защитой данных, такая деятельность становится не только обременительной для граждан и бизнеса, но и несправедливой.

Согласно Закону об административном судопроизводстве, использование публичной власти должно быть пропорциональным, т. е. соответствующим цели, необходимым и умеренным. Когда обжалуются решения, исход которых практически известен заранее, или инициируются процедуры с сомнительным результатом, неизбежно возникает вопрос, какой цели служит такая деятельность. Такое административное трение со стороны одного агентства является признаком управленческой ошибки, поскольку решения о том, какие приоритеты и какие споры подлежат рассмотрению, обычно принимает не чиновник, а руководитель.

Пора мыслить трезво

Защита данных не должна стать препятствием для функционирования общества. Защита персональных данных была и остается необходимой. Основные принципы и требования, вытекающие из GDPR, не утратили своей актуальности. В то же время соблюдение таких требований должно основываться на здравом смысле. Защита данных не должна превращаться в инструмент, который под видом формальности препятствует разумным и законным решениям.

Если деятельность учреждения государственного сектора отклоняется от этих принципов и заменяется излишней формальностью и официальной строгостью, то это уже не эффективный надзор, а бюрократия, которая подавляет общественно полезные инициативы. Направление Европы ясно: меньше ненужного регулирования, больше гибкости.

Пора и в Эстонии спросить, действительно ли мы защищаем права людей или создаем систему, которая в основном обслуживает сам административный аппарат. Общее направление должно быть в сторону меньшей бюрократии и большего здравого смысла. Последнее, как показывает недавнее решение Госсуда, вне всяких сомнений, необходимо.