Последствия фиаско с Законом о защите личных данных: некомпетентность политиков создала правовой вакуум

13 июня проект закона о защите личных данных был отозван из производства Рийгикогу. Причина всем известна. По мнению нескольких партий, законопроект создал угрозу свободе слова, так как дал СМИ право, как и ныне действующий Закон о защите личных данных, принятый в 2007 году, обрабатывать личные данные в случае преобладающего публичного интереса без согласия лица. Политики были весьма возмущены тем, что согласно недавно вступившему в силу общему регламенту Европейского союза по защите личных данных, публичный интерес не должен быть преобладающим, достаточно просто... публичного интереса.

Специалистам по защите личных данных, которые в течение почти недели наблюдали за шумихой в СМИ, приходилось и смеяться, и плакать.

Смеяться потому, что представителям народа, борющимся против слова «преобладающий», так и не удалось полностью осмыслить истинное содержание желаемого изменения, а скорее явное его отсутствие: защиту личной жизни лица, а также право СМИ обрабатывать данные в целях журналистики нужно в любом случае – как сегодня, так и завтра – взвешивать отдельно в каждом конкретном случае, и вопрос всегда стоит в том, что над чем преобладает (т.е. который из двух является «преобладающим»). Именно так применялось т.н. исключение для СМИ в судебной практике всегда, как у нас, так и в других европейских странах. Заявление о том, что копирование действующей сегодня нормы в новый законопроект означает конец свободы слова, является, мягко говоря, произвольным.

А плакать приходилось потому, что ненужная, мотивированная политической выгодой дискуссия перечеркнула целый ряд иных значимых прикладных правовых норм, содержащихся в общем регламенте Европейского союза по защите личных данных, из-за чего существенно усложнилось понимание действующего права и его применение. Привожу ниже лишь несколько примеров.

Первая существенная проблема состоит в том, что всё ещё действующий сегодня закон о защите личных данных принят на основе предыдущей директивы Европейского союза, который утратил силу 25 мая 2018 в связи с вступлением в силу нового общего регламента Европейского союза по защите личных данных. Сегодня действующий в Эстонии закон о защите личных данных исходит из того, что Инспекция по защите данных осуществляет надзор исключительно над исполнением указанного закона, а также правовых актов, принятых на основании этого закона. Это, в свою очередь, значит, что инспекция не может осуществлять государственный и административный надзор над исполнением нового общего регламента. Этот вопрос собирались решить новым законом, который теперь отложен до осени.

Вкратце это означает, что общий регламент по защите личных данных как общеевропейский правовой акт в силе, однако контрольный орган в Эстонии отсутствует. Инспекция по защите данных имеет право осуществлять надзор только над внутригосударственным законом, принятым в 2007 году, действие которого должно было прекратиться, согласно планам, уже 25 мая. Это не оставляет инспекции никакой иной возможности кроме как толковать действующий и уже достаточно устаревший закон в духе нового общего регламента, что, безусловно, окажется пробным камнем как для инспекции, других специалистов, практикующих в данной области, так и для частных лиц, предприятий и учреждений.

Вторая, связанная с первой проблема вытекает из того, что в Эстонии отсутствует учреждение, в компетенцию которого входит применение штрафов и взысканий, установленных общим регламентом, суммы которых могут достигать 20 миллионов евро или 4 процентов от всемирного оборота в предыдущем году.

Если проблемы, названные в начале, могут быть решены путём творческого толкования, то ситуация с применением штрафов и взысканий является иной – применение штрафов и взысканий в любом случае исключено до тех пор, пока внутригосударственным правовым актом не установлено, какое учреждение имеет право вести соответствующее производство и накладывать штрафы или взыскания.

В законопроекте, отозванном из производства Рийгикогу, эти права были однозначно предоставлены Инспекции по защите данных.

Очевидно, предприятия и учреждения могут теперь вздохнуть с некоторым облегчением, так как, согласно действующему сегодня закону, максимальный размер штрафа составляет 32 000 евро и, как известно, инспекция ни разу не применяла указанную максимальную ставку на практике.

Но это не меняет бесспорную истину, что из-за отсутствия норм о введении в действие и применения Общего регламента по защите личных данных Эстонская Республика нарушает существующее обязательство перед Европейским союзом, т.е. не обеспечивает эффективное применение права ЕС, что в свою очередь может привести к возбуждению штрафного производства в отношении Эстонской Республики.

14 июня правительство передало парламенту новый проект закона о защите личных данных в изменённом виде. Надеемся, что он будет принят уже осенью.