Защита данных

Правовое регулирование защиты данных в Эстонии отвечает соответствующему законодательству Европейского Союза и международному праву. Законы ЕС введены в действие в полном объеме, и заметных недостатков в регулирующих эту сферу законах Эстонии нет. В первую очередь это Закон о защите персональных данных,[1] но те же правовые положения закреплены и в Конституции Эстонской Республики[2]. Закон о защите персональных данных вводит в действие директиву 95/46/EU[3] в полном объеме, начиная с внесенных в нее в 2008 г. поправок.

Инспекция по защите данных

Эстонская инспекция по защите данных, учрежденная в соответс­твии с Законом о защите персональных данных, представляет собой отдельное учреждение в компетенции Министерства юстиции. Инспекция по защите данных снискала общее признание своей инициативностью: она самостоятельно возбуждает жалобы и повы­шает осведомленность общественности как о самом учрежде­нии, так и вообще о правах на защиту данных. Последнее особенно важно, учитывая крайне плохую осведомленность широкой публики и о правовой стороне, и о принципах защиты данных. Единственное исследование на эту тему было проведено в 2006 г. оно показало низкий уровень знаний о правовом регулировании защиты данных как среди всего населения, так и среди тех, кто занимается обработкой данных[4].

Хотя законодательство в области защиты данных находится на хорошем уровне и явных промахов нет, имеются все же темы, кото­рые желательно рассмотреть подробнее. Есть ряд проблем в том, что касается структуры инспекции и управления ею. Во-первых, бюджет инспекции утверждает, исправляет и оценивает его выпол­нение министр юстиции. Во-вторых, генеральный директор инспек­ции назначается сроком на пять лет, и его назначает правительство по рекомендации министра юстиции. В-третьих, компетенция инспекции не ограничивается защитой данных – она также осуществ­ляет надзор за соблюдением Закона о публичной информации, регулирующем доступ к подлежащим оглашению сведениям[5].

Озабоченность вызывает то, что бюджет находится под контролем Министерства юстиции: такая зависимость может быть использована для оказания влияния на Инспекцию по защите данных. Если правительство воспользуется этим обстоятельством, чтобы косвенно влиять на инспекцию, то это может серьезно нарушить способность последней действовать как независимое учреждение.

Процесс выбора и назначения генерального директора целиком сосредо­точен в руках Министерства юстиции и правительства. Во-первых, прозрачность процедуры тут сомнительна, так как она осуществляется полностью внутри одного ведомства. Во-вторых, выбор делается правительством без какого-либо контроля извне, что может ставить под угрозу независимость и беспристрастность учреждения. Иллюстрацией тому служит одно из требований к кандидату на должность руководителя Инспекции по защите данных на открытом конкурсе в 2008 г.: «ориентация исходя из интересов государства»[6].

Инспекция по защите данных имеет двоякую компетенцию: она обеспечивает и защиту данных, и доступ к публичной информации. Таким образом, одна и та же инстанция занимается принципиально разными сферами, которые могут входить в противоречие. Одно учреждение, имеющее один бюджет, один персонал и ограниченные средства, занимается двумя противоположными правовыми сферами – и встает вопрос, не отдается ли одной из этих сфер предпочтение в ущерб другой и в каком объеме могут при этом пострадать задачи защиты данных. Эту опасность усиливают две указанные выше проблемы, связанные с возможностью правитель­ства влиять на Инспекцию по защите данных.

Как выше отмечено, Инспекция по защите данных прилагала усилия к повышению осведомленности общественности о правовой стороне и о принципах защиты данных. Масштабных кампаний, однако, не проводилось. Основное, что делала инспекция в этом направлении, было проведение ежегодных конференций в Международный день защиты персональных данных[7]. Это шаг в верном направлении, но очевидно, что такие конференции привлекают не широкую публику, а в первую очередь тех, кто и так интересуются защитой данных. В целом, для информирования общественности следовало бы в буду­щем применять более серьезные и широкие средства.

Санкции, компенсации и юридические последствия

При нарушении правил защиты данных законодательство Эстонии позволяет применять уголовные санкции (согласно Уголовному кодексу)[8] либо административные (согласно Закону о защите персо­нальных данных). Суммы максимальных штрафов, взыскиваемых с юридических лиц за нарушение Закона о защите персональных данных, были увеличены в 2007 году десятикратно. Это должно подействовать на организации, не соблюдающие правил обращения с персональными данными.

На практике Инспекция по защите данных применяла санкции довольно неохотно, что частично отражалось и в малых суммах штрафов[9]. Видимо, инспекция предпочитает вместо наказания тех, кто обрабатывает данные, сотрудничать с ними, чтобы последние уяснили себе правила и в дальнейшем их соблюдали. Жалобы инспекция принимает бесплатно: это должно поощрить людей пода­вать заявления. Единственное явное упущение заключается в том, что после подачи жалобы ее податель не может никак влиять на процедуру ее рассмотрения.

В том, что касается уголовных санкций за нарушение правил защиты данных, беспокойство вызывают два аспекта. Во-первых, компетент­ность полицейских чиновников в данной сфере сомнительна, поэтому нет уверенности, что закон будет применяться эффективно. Во-вторых, положения закона оставляют широкий простор для толкования, и это затруднит его выполнение в отсутствие пре­дыдущей судебной практики. Полное отсутствие судебной практики в области защиты данных не позволяет предсказать, будут ли суды назначать компенсацию за ущерб, особенно нематериальный. Вызы­вает озабоченность и то, что суды Эстонии вообще неохотно назначают возмещение за нематериальный ущерб при любых исках.



[1]     Isikuandmete kaitse seadus (RT I 2007, 24, 127; RT I 2007, 68, 421).

[2]     Eesti Vabariigi põhiseadus (RT 1992, 26, 349; RT I 2007, 33, 210), §42, §44.

[3]     Директива 95/46/ЕС Европейского парламента и Европейского совета о защите физических лиц в отношении обработки персональных данных и свободном движении таких данных.

[4]     См. Elanikkonna ja asutuste teadlikkus isikuandmete kaitsmisest. – Turu-uuringute AS, detsember 2006. В электронной форме: http://www.aki.ee/document.php?id=115 (04.03.2010).

[5]     Avaliku teabe seadus (RT I 2000, 92, 597; RT I 2009, 63, 408), §44.

[6]     Riigikantselei, Avalik konkurss: Andmekaitse Inspektsiooni peadirektor, 29.01.2008. В электронной форме: http://www.riigikantselei.ee/tan?id=73200 (04.03.2010).

[7]     Информацию о конференциях см.: http://www.aki.ee/est/?part=html&id=25 (04.03.2010).

[8]     Karistusseadustik (RT I 2001, 61, 364; RT I 2010, 8, 34).

[9]     Статистику см.: http://www.aki.ee/est/?part=html&id=23 (04.03.2010).