Ключевые темы
- Хотя коммуникационные данные теперь можно запрашивать в рамках производства по уголовному делу на основании разрешения суда, ст. 1111 Закона об электронных коммуникациях, которая обязывает предприятия связи хранить коммуникационные данные всех жителей Эстонии недифференцированно, по-прежнему остается неизменной, несмотря на то, что она противоречит практике Европейского суда и Государственного суда.
- Защита прав человека занимает важное место при регулировании как цифровых услуг, так и искусственного интеллекта.
- Через коммерческий регистр персональные данные как открытые данные также доступны свободно и бесплатно.
- Упрощение наложения штрафов в сфере защиты данных.
- В центре временного содержания должен быть обеспечен доступ к Интернету и мобильным телефонам.
Политические и институциональные изменения
За рассматриваемый период в Эстонии и ЕС произошло несколько важных изменений, которые влияют на неприкосновенность семейной и частной жизни. Одним из приоритетных направлений для эстонского государства стало более эффективное использование открытых и больших данных.[1] С 1 октября 2022 года данные коммерческого регистра Эстонии стали бесплатно доступны всем. Эти открытые данные часто содержат персональные данные, такие как личные коды, номера телефонов, адреса эл. почты и/или домашние адреса членов правления, фактических выгодоприобретателей или предпринимателей-физических лиц.[2] В то же время Европейский суд проанализировал[3] разглашение данных фактических выгодоприобретателей в коммерческих регистрах и счел, что обязательство предоставлять такие данные общественности в свободном доступе является противозаконным, непропорционально ограничивает право лиц на неприкосновенность частной жизни, и решил, что не каждому нужно иметь такой открытый доступ к персональным данным.
Помимо открытых данных, более эффективно стали использоваться также биометрические данные как в работе полиции и пограничников, так и при выполнении других государственных задач. 3 января 2022 года вступило в силу Положение о базе данных автоматической биометрической системы идентификации личности (ABIS), устанавливающее принципы и основы обработки данных базы данных.[4] ABIS — это электронная база данных перекрестного использования, которая содержит биометрические данные, собранные государственными учреждениями для различных целей. В ABIS биометрические данные представляют собой изображения лица, изображения отпечатков пальцев и отпечатки ладоней. Хотя ABIS можно считать более прозрачной и регулируемой, чем предыдущая расчлененная система, в которой биометрические данные собирались в базах данных, находящихся в ведении различных министерств, и эти базы данных в достаточной степени не регулировались, в ABIS также таятся риски безопасности и конфиденциальности, связанные с централизацией данных деликатного характера. С точки зрения верховенства закона, проблематично то обстоятельство, что условия обработки данных устанавливаются на уровне исполнительной власти постановлением правительства (а не на уровне закона[5]).[6]
Благодаря триумфальному шествию новых технологий в последние годы, когда популяризируется использование решений искусственного интеллекта (например, генераторы изображений и чат-боты), были предприняты важные политические шаги по регулированию таких автоматизированных и прогнозирующих систем. В 2023 году в Европейском союзе оживились дискуссии о регулировании искусственного интеллекта, и в качестве важного шага к тому, чтобы сделать системы искусственного интеллекта, используемые в ЕС, более безопасными, прозрачными, более экологичными и менее ограничивающими основные права, в июне пленарное заседание Европейского парламента приняло предложения о поправках к постановлению об искусственном интеллекте, инициированному Европейской комиссией в 2021 году.[7] Постановление представляет собой обширный правовой акт по регулированию искусственного интеллекта, который исходит из уровня риска систем, и, в соответствии с уровнем риска системы, устанавливает дополнительные обязательства для поставщиков услуг. Системы, которые существенно влияют на безопасность и основные права пользователей, классифицируются как системы искусственного интеллекта с высоким риском. Системы искусственного интеллекта, опасные для людей или представляющие недопустимый риск, запрещаются.[8], [9], [10] Постановление ЕС по искусственному интеллекту в настоящее время находится на трехсторонних переговорах, и ожидается, что оно будет принято к началу 2024 года.
Изменение законодательства
С 1 ноября 2023 года упрощено назначение штрафов за нарушения в сфере защиты данных. Новые положения Пенитенциарного кодекса допускают более высокие штрафы, более длительный срок давности и упрощают привлечение предприятий к ответственности за нарушения Общего регламента защиты персональных данных (IKÜM).[11] В новой редакции юридическое лицо несет ответственность также в том случае, если проступок совершен любым лицом по распоряжению органа юридического лица, его члена, руководящего работника или компетентного представителя либо если нарушение вызвано недостатками организации труда или надзора юридического лица.[12] Изменение позволит Инспекции по защите данных устанавливать т. н. гигантские штрафы, предусмотренные IKÜM, и устрашать предприятия в соответствии с требованиями IKÜM.
В течение длительного времени практикой, нарушающей основные права, был сбор и использование коммуникационных данных всех жителей предприятиями связи на основе Закона об электронных коммуникациях.[13] Небольшим положительным шагом можно считать вступившую в силу в начале 2022 года поправку к Уголовно-процессуальному кодексу, согласно которой разрешение на запрос коммуникационных данных в рамках производства по уголовному делу теперь дает суд (ранее разрешение давал прокурор).[14] Однако неизменными остаются части 2 и 3 ст. 1111 Закона об электронных коммуникациях, которые незаконно ограничивают основные права, обязывая предприятия связи в течение года хранить коммуникационные данные всех жителей, которые могут быть запрошены перечисленными государственными органами и в других случаях, помимо производства по уголовному делу. Как и в отчете за предыдущий период[15], разъяснено, что недифференцированное хранение коммуникационных данных признано Государственным судом и[16] судом ЕС[17] противоречащим законодательству ЕС и нарушающим неприкосновенность частной жизни. В программе действий Министерства юстиции изменение закона не планируется.[18]
Поворотным моментом в привлечении к ответственности технологических гигантов стало вступление в силу 16 ноября 2022 года Закона ЕС о цифровых услугах (DSA), направленного на то, чтобы приостановить используемые технологическими гигантами (платформы социальных сетей, Интернет-магазины, поисковые системы) скрытые системы (например, преследующую рекламу), более эффективно ограничивать распространение противозаконного онлайн-контента и обеспечить пользователям лучший контроль над использованием их персональных данных в онлайн-рекламе и более сильную защиту основных прав в Интернете.[19] Закон о цифровых услугах устанавливает дополнительные обязательства по обеспечению прозрачности и более четкие правила обозначения рекламы и спонсируемого контента. Запрещается таргетированная реклама на основе сексуальной ориентации, вероисповедания, этнической принадлежности или политических убеждений человека. Усилена защита несовершеннолетних, и запрещена реклама, направленная на несовершеннолетних.[20]
Судебная практика
В своем решении от 2023 года коллегия конституционного надзора Государственного суда сочла, что запрет на использование средств связи в центрах временного содержания для ходатайствующих о предоставлении убежища, включая ограничения на использование мобильных телефонов и Интернета, противоречит Конституции Эстонии, нарушает неприкосновенность частной жизни и семьи, и соответствующее ограничение основных прав недействительно.[21] Учитывая судебный казус, инициированный Эстонским центром по правам человека[22], Министерство внутренних дел должно внести изменения, применяя только необходимые и пропорциональные ограничения.[23] Согласно изменению правил внутреннего распорядка центра временного содержания, иностранцам, находящимся в центре временного содержания, теперь разрешено обеспечить пользование мобильным телефоном и услугой передачи данных в течение не менее одного часа в свободное время, предусмотренное распорядком дня, при условии, что это не позволяет им производить фото- или видеозапись и если это не угрожает внутреннему порядку центра временного содержания и не препятствует осуществлению высылки.[24] Хотя это и позитивное изменение, семейная жизнь, неприкосновенность частной жизни и свобода выражения мнений ходатайствующих о предоставлении убежища лиц, которые делают возможными использование Интернета и мобильных телефонов, по-прежнему ограничиваются.
Перспективные и успешные практики
В 2022 году Инспекция по защите данных (AKI) из-за нехватки ресурсов не смогла своевременно ответить или вообще не ответила на заявления, и надзор за персональными данными затянулся, что нарушило требования, вытекающие из IKÜM.[25] Многообещающей тенденцией можно считать то, что в феврале 2023 года после увеличения бюджета AKI расширилась почти вдвое (увеличилось количество рабочих мест, и выросли зарплаты).[26] Обеспечивая инспекции возможность более эффективно выполнять возложенные на нее законом обязанности, государство подчеркивает важность надзора за защитой данных и стремление развивать эту сферу.
Важнейшие публичные обсуждения
Вызвавшая широкий резонанс[27], [28], [29], [30] дискуссия, касающаяся защиты персональных данных и этических вопросов, возникла в связи с запросом в августе 2023 года фондом Pere Sihtkapital для исследования данных 24 000 женщин из регистра народонаселения. От имени Тартуского университета фонд запросил данные тысяч эстонских женщин для исследования бездетности (в т. ч. контактные данные для оказания давления на тех, кто воздержался от участия в исследовании) и отправил им опросник, содержание которого вызвало резкую реакцию со стороны общественности ввиду содержавшихся в нем вопросов деликатного характера (таких как однополые отношения, партийные предпочтения, количество детей).[31] На проведение исследования не было получено разрешения комитета по этике (и AKI) и одобрения Тартуского университета.[27], [32], [33] В результате скандала тысячи эстонцев засекретили свои данные в регистре населения для частных предприятий.[34] Вдобавок ко всему, общественности стало известно то обстоятельство, что дача согласия на обработку данных в регистре народонаселения противоречит идее согласия IKÜM, в соответствии с которой люди должны были заранее дать однозначное согласие на передачу своих данных, согласие не должно быть предписано (другими словами, действовала незаконная система дачи согласия opt-out).[35] Также возник вопрос о том, не следует ли в случае столь масштабной базы данных при выдаче персональных данных убедиться, что у получателя есть правовое основание для обработки данных и имеются соответствующие разрешения.[36]
Тенденции и перспективы
В быстро развивающемся обществе информации и данных, где данные стали валютой как для предприятий, так и для государств, право на конфиденциальность и защиту данных приобретает особое значение при защиты интересов отдельной личности. IKÜM оказал свое влияние на развитие этой области, включая повышение осведомленности и унификацию правил защиты данных. В Эстонии одним из важных препятствий для внедрения штрафных механизмов, предусмотренных в IKÜM, является отсутствие административных штрафов. Однако в последнее время как внутри страны, так и в ЕС было замечено, что к штрафам за нарушения защиты данных и их мониторингу стали относиться более серьезно.[37], [38] Это положительно влияет на права субъекта данных, поскольку строгость надзорных органов в отношении соблюдения защиты данных мотивирует предприятия больше уважать данные обычных людей, что, в свою очередь, означает большую защиту частной жизни и конфиденциальности.
Описание кейса
Дело касается нарушения защиты данных, когда человека сфотографировали на работе, а затем без согласия лиц, запечатленных на снимке, как сам снимок, так и имевшиеся на фотографии персональные данные были опубликованы в СМИ и представлены на общегосударственной выставке в рамках фотоконкурса. Однако человек полагал, что снимок будет использован работодателем в профессиональных целях (в качестве личных фотографий), и ни фотограф, ни работодатель ему обратного не объяснили. Люди, запечатленные на фотографии были весьма удивлены, обнаружив в средствах массовой информации и на улицах фотографии со своими именами, указанием национальности, статуса беженца, должности и информацией о месте работы.
С помощью Эстонского центра по правам человека запечатленный на снимке человек обратился к фотографу, в AKI, а затем в административный суд с просьбой прекратить обработку его персональных данных, однако органы власти нарушения защиты данных не усмотрели. В решении по делу № 3-23-1054 суд счел, что благодаря свободе искусства и прессы фотограф мог опубликовать фотографию в СМИ и впоследствии отправить ее на конкурс. Податель жалобы счел, что фотограф должен был идентифицировать себя для запечатленных на снимке людей (сообщить, что он фотокорреспондент) и указать цель использования фотографий (публикация в СМИ и экспонирование на выставке), поскольку тогда люди могли бы сделать осознанный выбор, фотографироваться им или нет. Суд счел, что, поскольку после обращения заявителя фотограф удалил из некоторых изданий имена людей и статус беженцев, нарушение неприкосновенности частной жизни людей было не столь значительным. Хотя свобода прессы и искусства, несомненно, важна для общества, к сожалению, данное решение вызывает беспокойство с точки зрения защиты личности, поскольку оно как бы указывает на то, что субъект данных должен сам быть способен предвидеть возможные нарушения защиты данных, что не представляется жизненно возможным, а также не согласуется с принципом права на защиту данных (IKÜM), согласно которому обязанность объяснения возлагается на обработчика данных.
Soovitused
- AKI в качестве независимого надзорного органа должна стратегически, систематически и проактивно осуществлять надзор за защитой персональных данных и развивать эту сферу.
- Защиту прав личности следует рассматривать более основательно наряду с предоставлением социальных благ и реализацией прав (например, государственная безопасность или свобода слова и информации по отношению к защите персональных данных). Мера, ограничивающая основные права, должна быть не только целенаправленной, но и подходящей, необходимой и умеренной.
- Привести процедуры хранения коммуникационных данных в соответствие с судебной практикой и законодательством Эстонии и ЕС.
- В центре временного содержания должен быть обеспечен доступ к Интернету и мобильным телефонам.
Любые мнения и суждения, выраженные в этой главе, являются субъективными и не отражают официальную позицию какого-либо учреждения.
[1] Vabariigi Valitsus. 2022. Eesti Vabariigi strateegia “Eesti 2035”. Materjalid, 07.10.2022.
[2] Keskel, A-J. 2022. Äriregistri andmed on homsest tasuta kättesaadavad, Postimees, 30.09.2022.
[3] Euroopa Kohtu 22.11.2022 otsus liidetud kohtuasjades C-37/20 ja C-601/20.
[4] Riigi Teataja. 2022. Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, RT I, 03.10.2023, 17.
[5] Riigi Teataja. 2021. Isikut tõendavate dokumentide seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seadus, RT I, 08.07.2021, 1.
[6] Sarv, H. 2021. Õiguskantsler näeb ABIS-es mitut tõsist probleemi, ERR, 29.06.2021.
[7] Euroopa Parlament. 2023. Euroopa Parlament on valmis alustama nõukoguga läbirääkimisi esimeste tehisintellekti reeglite üle, 14.06.2023.
[8] Euroopa Parlament. 2023. Tehisintellekti määrus: ELi plaan reguleerida tehisintellekti, 14.06.2023
[9] Euroopa Parlament. 2023. Euroopa Parlament on valmis alustama nõukoguga läbirääkimisi esimeste tehisintellekti reeglite üle, 14.06.2023.
[10] Euroopa Parlament. 2023. Parliament’s negotiating position on the artificial intelligence act, juuni 2023.
[11] Kärner, M. 2023. Muudatused juriidilise isiku süüteovastutuses, Juridica 2023/4-5.
[12] Kuuskmaa, L. M., Miidla, M. 2023. Eesti lihtsustab karistusseadustiku muudatustega andmekaitsealaste rikkumiste eest trahvide määramist, Sorainen, 15.05.2023.
[13] ERR. 2023. Eesti kogub jätkuvalt kõigi inimeste sideandmeid, 04.08.2023.
[14] Riigi Teataja. 2021. Riigi Teatajas avaldati kriminaalmenetluse seadustiku muutmise seadus, 22.12.2021.
[15] Väljataga, A. 2021. Inimõigused Eestis 2022: Õigus perekonna- ja eraelu puutumatusele, Eesti Inimõiguste Keskus.
[16] Riigikohus. 2021. Riigikohus: riik ei saa sidefirmade kogutud andmeid kuritegude uurimiseks välja nõuda, 18.06.2021.
[17] ERR. 2022. Euroopa Kohus: sideandmete lausaline säilitamine on õigusvastane, 05.04.2022.
[18] Justiitsministeerium. Strateegilised alusdokumendid.
[19] Euroopa Komisjon. 2023. Digiteenuste seadus: Küsimused ja vastused.
[20] Euroopa Parlament. 2022. Digiteenuste õigusakt: murranguline kokkulepe turvalise veebikeskkonna loomiseks, 25.04.2022.
[21] Riigikohtu põhiseaduslikkuse järelevalve kolleegiumi 20.06.2023 otsus asjas 5-23-16/15.
[22] Tallinna Halduskohtu 20.03.2023 otsus haldusasjas 3-22-2355.
[23] Vähi, M-L., Tuuling, K., Ponomarjova, U. 2023. Riigikohus: varjupaigataotlejate suhtlusvõimaluste piiramine on vastuolus Eesti põhiseadusega, Eesti Inimõiguste Keskus, 20.06.2023.
[24] Riigi Teataja. 2023. Siseministri 16. oktoobri 2014. aasta määruse nr 44 „Kinnipidamiskeskuse sisekorraeeskiri” muutmine, RT I, 10.10.2023, 9.
[25] Palgi, G. 2023. Andmekaitse inspektsiooni peadirektor kaadri voolavusest: peame tegelema eraisikute vaidlustega hoovikaamera pärast, Eesti Päevaleht, 05.02.2023.
[26] Andmekaitse Inspektsioon. 2023. Aastaraamat 2021–2022.
[27] Pärli, M. 2023. Pere Sihtkapital küsis uuringu jaoks TÜ nimel tuhandete naiste andmeid, ERR, 11.08.2023
[28] Kuulpak, K. 2023. Tartu ülikool vallandas Raul Eametsa, kes ebaausalt hankis lastetute naiste andmeid. Rektor Asser: mõistan hukka. Jätkata on mõeldamatu! Õhtuleht, 14.08.2023
[29] ERR. 2023. AKI alustas menetlust Pere Sihtkapitali tellimusel tehtud uuringu osas, 14.08.2023
[30] Muraveiski, K. 2023. „Kas teil on olnud seksuaalkogemusi samast soost partneritega?“ Loe, milliseid isiklikke küsimusi küsiti naistelt skandaalses uuringus, Delfi, 13.08.2023.
[31] Himma, M., Libe, T. 2023. Lastetute naiste uuringu küsimuste autor Allan Puur: nii terav tagasiside üllatas, ERR, 15.08.2023.
[32] Orav, A. T. 2023. Pere Sihtkapital tegi esimese katse uuringuks juba kevadel, kuid ei saanud inspektsioonilt luba, Eesti Ekspress, 15.08.2023
[33] Liive, R. 2023. Kõmulise lastetute naiste uuringu tellis Isamaaga seotud sihtasutuselt Isamaa minister Riina Solman, Digigeenius, 12.08.2023.
[34] ERR. 2023. Ministeerium: Pere Sihtkapitali juhtum on üks õnnetu lugu, 16.08.2023.
[35] Ratnik, H. 2023. Vandeadvokaat: rahvastikuregistri seadus on Euroopa Liidu õigusega vastuolus, Eesti Ekspress, 16.08.2023.
[36] Andmekaitse Inspektsioon. 2023. Andmekaitse Inspektsioon alustas menetlust Pere Sihtkapitali SA tellimusel tehtud uuringu osas, 14.08.2023.
[37] ERR. 2023. EL trahvis Metat 1,2 miljardi euroga, 22.05.2023
[38] CMS Law. GDPR Enforcement Tracker.
