Ключевые темы
- С приватности фокус переместился на защиту данных, а также в сторону практичности в связи с вступлением в силу общего регламента о защите персональных данных.
- Статистика Инспекции по защите данных демонстрирует, что с демистификацией был сопряжен рост осведомленности о правах и о том, как их защищать.
- Продолжается безразборное хранение данных о связи жителей Эстонии, несмотря на острые противоречия с действующим международным правом, практикой Европейского суда и Европейского суда по правам человека.
- По сравнению с другими европейцами, эстонцы довольно мало интересуются приватностью.
Политическое и институциональное развитие
В опубликованной весной 2019 г. Эстонской стратегии кибербезопасности на 2019-2022 гг. сказано, что новые э-услуги и массивы данных будут формироваться, принимая во внимание принцип безопасности и прозрачности (англ. security and privacy by design). Стратегия отличается от двух предыдущих тем, что приватность и кибербезопасность рассматриваются, как единое целое, и ищутся решения, которые могли бы помочь гармонизировать ставшую довольно разрозненной сеть э-услуг, и укрепить ее против атак и утечек.[1]
Стратегия была подготовлена в ходе межотраслевого сотрудничества под руководством министерства экономики и коммуникаций. Среди прочего, ее составители признают, что при использовании большинства ИТ-решений госсектора принимается во внимание аспект безопасности, но ответственность децентрализована и единая поддержка со стороны государства является недостаточно системной. Для более эффективного и систематического внедрения принципа архитектуры, поддерживающей безопасность и приватность, планируется создать систему справочных материалов с механизмами обратной связи и контроля для гарантии качества. Также в стратегии сказано: «несмотря на отдельные регуляции, с точки зрения применителей защиту данных и защиту информации более неразумно и не посильно рассматривать в качестве отдельных дисциплин. Таким образом, при планировании дальнейших действий исходим из принципа, что несмотря на отдельные регуляции, применение требований защиты информации и защиты данных следует рассматривать как единое целое, обеспечивающее целостность процессов управления и развития, и стремясь к их гармоничному и целостному применению. Это предусматривает надлежащее и поддерживающее законодательство и административную организацию».[2]
Обобщенно в развитии э-услуг ставится целью создание единой системы требований безопасности, которая будет охватывать минимальные требования как по безопасности информации, так и по защите данных. Такой интегрированный подход – единственно верное решение в контексте перекликающихся баз данных и инфосистем, но его достижение может оказаться на практике крайне сложным и ресурсозатратным предприятием, особенно, учитывая сложный ландшафт государственных э-услуг и множество различных организаций, оказывающих услуги. Также, это наверняка предполагает более интенсивное содержательное сотрудничество между Инспекцией по защите данных и Департаментом государственных инфосистем.
Подобно Стратегии кибербезопасности, опубликованная немного позже Программа развития информационного общества подчеркивает, что на фоне постоянно растущего объема данных и широко распространенного перекрестного использования данных контроль над использованием собственных данных поможет человеку справиться с определенной утратой приватности. Среди прочего планируется создать как технологические, так и организационные условия, чтобы люди всегда имели возможность знать и направлять, кто, когда, и для чего использует имеющиеся у государства данные.[3]
Много было сказано о предполагаемом резком росте объема работы Инспекции по защите данных, однако из ежегодника Инспекции за 2018 г. можно сделать вывод, что после вступления в силу общего регламента о защите персональных данных или непосредственно перед этим не было заметного увеличения финансирования или числа работников. Согласно опубликованной статистике, рост объема работы очевиден. Последнее относится в первую очередь к работе дежурного чиновника, консультированию предприятий и учреждений; ответам на ходатайства о пояснении, различные запросы и обращения. Прежде всего, практика дает представление о том, что в результате практического поворота законодательства по защите данных люди действительно стали активнее и осведомленнее. Видимо, потому что общий регламент по защите персональных данных создает крепкий фундамент для защиты своих данных, вопрос скорее лежит в области практического применения, и здесь лучшие рекомендации может дать именно Инспекция по защите данных.
Законодательное развитие
25 мая 2018 г. вступили в силу общий регламент о защите персональных данных[4] и т.н. директива о правоохранительных органах.[5] Государственный применительный акт общего регламента – новый закон о защите персональных данных – вступил в силу лишь в январе 2019 г. Общий регламент и связанные с ним изменения, с одной стороны, означают лучшую защиту прав частных лиц, а с другой стороны – более объемную и ресурсозатратную административную сеть.
Формат годового отчета не идеально подходит для пересказа общего регламента, особенно когда содержательные резюме и комментарии доступны как на эстонском,[6] так и на английском.[7] Все же, следует упомянуть некоторые связанные с регламентом изменения и уточнения, наиболее важные с точки зрения частного лица. Регламент не дает лицам совершенно новых прав, а расширяет и уточняет те из них, которые и прежде существовали в расплывчатом и неэффективном виде.
Согласно постановлению, субъект защиты данных имеет право на:
– Информацию. Право на информацию было значительно уточнено в Общем регламенте и заметно облегчило понимание и применение. Обрабатывающие данные (компании и организации) должны объяснить понятным образом, какие персональные данные они собирают и для какой цели. Когда процессор данных создает профили субъектов данных, последний имеет право знать, что включает созданный профиль.
– Безопасную обработку данных. Согласно Общему регламенту, данные должны собираться и обрабатываться в соответствии с требованиями безопасности. Это означает, что обрабатывающий данные должен принимать соответствующие современному технологическому контексту организационные и технические меры для обеспечения конфиденциальности и предотвращения утечек. Кроме того, начиная с 25 мая обрабатывающие данные обязаны уведомлять Инспекцию по защите данных о любых нарушениях, связанных с персональными данными.
– Право ознакомиться с данными, собранным о себе. Лицо, чьи данные обрабатываются, имеет право проверить их точность и, при необходимости, изменить или дополнить данные. Точно так же, если данные больше не актуальны или не нужны, можно потребовать их удаления.
– Принцип минимальной обработки данных четко регламентирован. Это означает, что человек не обязан предоставлять больше информации о себе, чем это строго необходимо для предоставления какой-либо услуги.
– Кроме того, субъекты данных имеют право возражать и запрашивать пояснения об автоматизированных процессах принятия решений и, при необходимости, требовать вмешательства человека.
Также был дан ответ на вопрос о том, какая страна обладает юрисдикцией в отношении случаев, когда субъекты данных в пределах Европейского союза обрабатываются за пределами территории Союза. Общий Регламент применяется ко всем случаям, когда обрабатываются данные субъектов, находящихся в ЕС, независимо от места обработки.
Закон о защите персональных данных регулирует, среди прочего, различия в обработке личных данных в контексте научных и исторических исследований и в прессе. Обработка в журналистских целях была разрешена в первоначальном проекте в случае «весомого» общественного интереса. Критики истолковали это как непропорциональное ограничение свободы мнений, и согласно вступившей в силу версии, достаточно просто общественного интереса.
Несмотря на то, что после вступления в силу Общего регламента не было разработано ни одного обязательного законодательного акта, все же существует растущая надежда, что Эстония намерена привести свое национальное законодательство в соответствие с обязательной европейской судебной практикой и международными обязательствами. 31 октября 2018 года министерство юстиции опубликовало «Намерение о разработке законопроекта об изменении закона об электронных коммуникациях и других связанных с ним законов».[8] В 2016 г., в своем решении Tele 2 SverigeЕвропейский суд недвусмысленно и исчерпывающе заявил, что поставщиков услуг ИКТ нельзя обязать собирать данные о неопределенных группах людей в целях безопасности, и что сбор данных всегда должен основываться на объективно обоснованных подозрениях, причем вне зависимости от доступных средств правовой защиты и механизмов по надзору.[9]
На этом фоне формулировка намерения о разработке законопроекта выглядит довольно осторожной, направленной на то, чтобы «установить более четкие и ясные критерии для обстоятельств, при которых данные связи могут быть сохранены и впоследствии использованы в различных типах процедур, обеспечивая тем самым конфиденциальность и лучшую защиту персональных данных».[10] По оценке министерства юстиции, использование данных связи при сборе доказательств в различных видах судопроизводства жизненно важно, но в то же время подчеркивается важность защиты персональных данных и прав субъектов данных. С другой стороны, европейская судебная практика четко считает, что данные связи могут храниться поставщиками услуг только в той мере, в какой это необходимо для предоставляемых ими услуг. Также у следственных органов и органов безопасности всегда будет иметься возможность, которая была доступна и до Директивы о хранении данных, запросить сохранение данных определенного пользователя по решению суда (т.н. quick freeze). Однако положительно то, что, хотя нет явного намерения отменить обязанность сохранять данные связи, намерение о разработке законопроекта содержит достаточно пояснений и модификации в отношении мониторинга и средств защиты, ограничений доступа и разрешений, а также в отношении характера данных, которые должны быть сохранены. Эстонский центр по правам человека отметил в своем мнении, что в случае сохранения режима прямого доступа у компаний связи должна быть возможность оценить законность запросов и оспорить их.[11] Также было рекомендовано собирать точную статистику о запросах к доступу, и уточнять полномочия и правоохранительные меры контрольных органов, в том числе в контексте международного сотрудничества в области безопасности.
Хотя практически не найти общедоступных статистических данных о том, как использовались до настоящего времени данные о связи, и как они влияли на уголовное судопроизводство, производство по делам о проступках или гражданское судопроизводство, заметен определенный прогресс. В 2018 г. канцлер права оценил, были ли данные, перечисленные в части 2 и 3 ст. 111 действующего Закона об электронных коммуникациях, затребованы от Telia, Elisa и Tele2 и использовались ли они на законных основаниях. При этом, очень важно иметь в виду, что оценка не касалась запросов в контексте уголовных производств и запросов об информации от органов безопасности. Более подробно анализировалось использование данных связи в гражданском судопроизводстве. Выяснилось, что большинство запросов были целенаправленными и обоснованными. Также бросается в глаза удивительно низкое число запросов: в производствах о проступке за период 2017-2018 гг. было сделано 47 запросов, а по 26 гражданским делам было сделано 86 запросов. В качестве одной из основных проблем канцлер права подчеркнул содержательную никчемность действующего порядка (согласно которому использование данных связи контролирует Департамент защиты прав потребителей и технического надзора), и предложил заменить его на общее обязательство использующих данные связи государственных органов вести учет запросов по данным связи. Кроме того, было рекомендовано ограничить использование коммуникационных данных при производстве по делам о проступках случаями, когда преступление было совершено с использованием или в связи со средствами связи.[12]
Розыскной деятельности также касался законопроект об изменении Закона об организации Сил обороны, который дает вооруженным силам возможность защищать зону безопасности Сил обороны в срочных случаях с целью выявления и противодействия повышенной угрозе скрытно проверять персональные данные на основе баз данных государства, местного самоуправления или других общественно-правовых или юридических лиц, использовать альтернативные данные и приемы конспирации и тайно следить за лицом. В марте президент Керсти Кальюлайд не провозгласила поправки, обосновав это тем, что предоставление такого права Силам обороны будет непропорциональным и серьезно нарушит основные права находящихся на оборонной территории гражданских лиц на семейную и частную жизнь, на неприкосновенность дома и на тайну послания. Президент отметила, что в законе недостаточно четко определен термин «скрытое наблюдение», что оставляет надзорному органу слишком много пространства для толкования и возможности несоразмерно воздействовать на права гражданских лиц.[13]
Судебное производство и практика
В феврале Государственный суд подал в Европейский суд запрос для вынесения предварительного решения, которое, по всей вероятности, должно пролить дополнительный свет на законность нынешних механизмов хранения и использования данных связи.[14] Хотя безуспешные попытки оспорить действия по надзору в соответствии с Законом об электронных коммуникациях предпринимались в других случаях, связанных с более тяжелыми составами преступлений, Государственный суд решил запросить предварительное решение по делу, касающемуся мелких преступлений против собственности. Кражи, совершенные обвиняемым, вряд ли будут классифицированы как тяжкие преступления. Однако согласно действующему Закону об электронных коммуникациях можно требовать от поставщиков услуг ИКТ предоставлять метаданные с разрешения помощника прокурора, ведущего дело. Несоответствия с практикой Европейского суда очевидны. Государственный суд хотел узнать, считает ли Европейский суд, что сохранение метаданных и их совместное использование с государственным органом представляет собой такое серьезное нарушение основных прав, что их следует резервировать исключительно для расследования серьезных преступлений, независимо от периода, к которому относятся рассмотренные данные.[15] Во-вторых, задается вопрос о том, связан ли объем доступных данных (как с точки зрения объема, так и масштаба времени) с серьезностью расследуемых преступлений. Т.е. сбор небольших объемов данных менее представляет собой меньшее нарушение и оправдан в случае расследования менее серьезных преступлений, а более обширные по времени и содержанию данные можно собирать только для борьбы с серьезными преступлениями.[16] В-третьих, Государственный суд интересуется, можно ли прокуратуру, проводящую досудебное разбирательство, рассматривать как независимый административный орган, чьему предварительному разрешению и надзору должен подчиняться доступ к данным в соответствии с решением в деле Tele 2 Sverige.[17] Какими бы ни были ответы на эти вопросы, они в любом случае должны найти отражение в будущей регуляции хранения, доступа и использования данных связи, которая, будем надеяться, будет соразмерной, человечной и разумной. В ответ на запрос Эстонского центра по правам человека министерство юстиции заявило, что разработка поправок к Закону отчасти замедлилась из-за ожидаемых изменений в практике Европейского суда.[18]
Статистика и исследования
Из проведенных за отчетный период исследований стоит упомянуть ad hoc-опрос Евробарометра по Общему регламенту о защите данных.[19] Ожидалось, что эстонские респонденты будут дружелюбны и грамотны в вопросах цифровых технологий, но только 53% что-либо слышали об Общем регламенте. Для сравнения, в Швеции этот показатель составил 90%, а в Польше – 86%. При этом, респонденты в Эстонии были, вероятно, самыми активными защитниками своих прав. 39% респондентов из Эстонии использовали право доступа к собранным данным о себе, 36% требовали исправить ложные данные, 25% воспользовались правом удалять данные, а 13% имели право участвовать в автоматизированных процессах принятия решений. Эстонозмельцы были лучше среднего осведомлены о надзоре за защитой данных и знали, куда обратиться в случае предполагаемых нарушений. Уже в 2016-2017 гг. в соответствующей главе мы указывали на высокий уровень доверия среди эстонцев, данный опрос еще раз подтверждает это – лишь 39% респондентов признались, что были обеспокоены отсутствием контроля над обработкой своих данных в интернете. Для сравнения, в Ирландии, например, этот показатель составлял 75, а в Латвии – 50. Результаты опроса показывают, что, хотя более информированные группы очень активны, в то же время появились группы людей, которые не умеют (и не хотят?) защищать свои права. Приведенные цифры также показывают, что разрыв между компетентными в вопросах цифровой грамотности и приватности и теми, кто далек от этой темы, становится более острым, чем в большинстве европейских стран.[20]
Тенденции и перспективы
Обобщая, можно сказать, есть два параллельных процесса. Первый касается популяризации защиты данных как темы, о чем свидетельствует статистика Инспекции по защите данных. Другой, по иронии судьбы, относится к нормализации общества контроля – об этом говорит исключительно плавно продвигающийся процесс изменения сохранения данных о связи и относительно безразличное отношению населения к возможности широкомасштабного наблюдения. Как это часто бывает и в других областях, заметны отдельные случаи, но крупномасштабные и системные несоответствия остаются незамеченными. Однако, если не рассматривать относительно либеральную регуляцию надзора отдельно от других процессов в обществе, есть все основания серьезно относиться к нему в текущей политической ситуации.
Рекомендации
- Прекратить обязанность хранить данные связи до вступления в силу намеченных поправок к закону об электронной связи.
- Провести широкое объективное статистическое исследование о том, в какой степени и помогли ли прежде собранные данные о связи бороться с преступностью и угрозами безопасности.
- Увеличить объем выделяемых Инспекции по защите данных средств таким образом, чтобы можно было нанимать технических экспертов, обладающих необходимыми знаниями для проверки соблюдения принципа интегрированной защиты данных, и осуществлять надзор над перекрестным использованием государственных э-услуг и системного анализа открытых данных.
- Не создавать новые государственные учреждения, которые могут осуществлять надзорные действия на основе широко дефинированных условий.
Описание кейса
Описанный кейс произошел в области, которая не упоминалась в этой главе, но которая будет становиться все более важной в будущем, и где Эстония благодаря довольно уникальному в мировом масштабе Генному фонду Тартуского университета имеет возможность стать как позитивным лидером, так и потерпеть большое фиаско.
Инспекция по защите данных зарегистрировала жалобу частного лица, которая касалась разглашения персональных данных. Заявитель подал запрос в Институт геномики Тартуского университета для получения информации о себе с просьбой предоставить описание его ДНК. Однако у Института геномики не было технических средств и правил процедуры для выполнения ходатайства. Согласно части 2 статьи 11 Закона об исследованиях генов человека, генный донор, в частности, имеет право лично получать доступ к данным, хранящимся в Генном фонде. Генный фонд пояснил, что, поскольку он еще не предоставил генным донорам данные описания ДНК в формате, которые невозможно прочитать/интерпретировать без специальных знаний (так называемые исходные данные), то в Генном фонде не было окончательно согласованной процедуры для предоставления таких данных генным донорам. На момент подачи ходатайства также было неясно, что именно следует интерпретировать, как описание ДНК: необработанные данные, прошедшие проверку качества данные описания или отчеты о генетическом риске, основанные на описании. В результате прецедента Генный фонд пришел к тому, чтобы разрешить доступ к двум последним, но первые не будут раскрывается субъекту данных из-за риска неправильной трактовки. К необработанным данным можно получить доступ только в ходе согласованной консультации с экспертом. Инспекция по защите данных нашла, что, независимо от Закона об исследованиях генов человека, человек имеет право на доступ к своим генетическим данным в подходящем ему виде и степени трактовки в соответствии с Законом о защите личных данных и Общим регламентом. Поэтому Инспекция сделала Институту геномики Тартуского университета предписание раскрыть данные.[21] Это интересный прецедент, поскольку затрагивает ряд таких вопросов, как понятие информированного согласия в технологически сложном контексте, требующем экспертных знаний, способности отдельного лица независимо интерпретировать свои данные и связанных с этим возможных рисков.
[1] Majandus- ja kommunikatsiooniministeerium. 2019. Küberturvalisuse strateegia 2019-2022, lk 22.
[2] Ibid, 23.
[3] Majandus- ja kommunikatsiooniministeerium. 2019. Infoühiskonna arengukava 2020.
[4] Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679. 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/ EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), Euroopa Liidu Teataja 04.05.2016, L 119/1.
[5] Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 – isikute kaitse seoses nende isikuandmete töötlemisega politseiasutustes ja kriminaalõiguse valdkonna asutustes ning selliste andmete vaba liikumine, Euroopa Liidu teataja 27.04.2016, L 119/89.
[6] Euroopa andmekaitse reform.
[7] A guide to GDPR data privacy requirements.
[8] Justiitsministeerium. 2018. Elektroonilise side seaduse ja sellega seonduvalt teiste seaduste muutmise eelnõu väljatöötamiskavatsus (sideandmete säilitamine ja kasutamine), 05.11.2018.
[9] Euroopa Kohus. Otsus ühendatud kohtuasjades C‑203/15 ja C‑698/15, Tele 2 Sverige and Watson and Others. 21. detsember 2016.
[10] n 8, lk 4.
[11] Eesti Inimõiguste Keskus. 2018. Arvamus elektroonilise side seaduse ja teiste seaduste muutmise seaduse
Väljatöötamiskavatsusele, 30.11.2018.
[12] Õiguskantsler. Elektroonilise side seaduse 111prim läigetes 2 ja 3 nimetatus andmete töötlemine
[13] Eesti Vabariigi President. 2019. Otsus nr 435 “Kaitseväe korralduse seaduse muutmise seaduse” väljakuulutamata jätmine, 07.03.2019.
[14] Euroopa Kohus. Kohtuasi C-746/18: Eelotsusetaotlus, mille esitas Riigikohus (Eesti) 29. novembril 2018 – H. K. versus Prokuratuur.
[15] Ibid.
[16] Ibid.
[17] Ibid.
[18] Justiitsministeerium. Vastus Eesti Inimõiguste Keskuse päringule. 16.09.2019.
[19] Eurobaromeeter. 2019. Eriraport 487a “Isikuandmete kaitse üldmäärus.”.
[20] Ibid.
[21] Andmekaitse inspektsioon. 2018. Ettekirjutus-hoiatus isikuandmete kaitse asjas nr 2.1.-6/18/9.