Заменяме ли сигурност срещу свобода?

two-person-standing-under-lot-of-bullet-cctv-camera-374103

Запазване и достъп на „службите“ до трафичните данни на абонати на публични електронни съобщителни услуги в България и ЕС 

По въпроса със съхранeнието, обработката и достъпа до трафични данни има много изписано мастило. Човек би могъл да се помисли, че това е една добре изяснена тема, към която няма защо да се връщаме. „Службите“, обаче, не мислят така. Явно трафичните данни на мобилните оператори са едно безценно съкровище, до което френските, английските и – виж ти – българските правоохранителни органи, бдящи за обществения ред, а – от скоро – и за здравето на нацията, отчаяно и неуморно се домогват.

Какво означава трафични данни в контекста на електронните съобщителни услуги?

Трафични данни (и тези за локация) са данните, които вашите електронни устройства за мобилна комуникация подават. Операторите на публични електронни съобщителни услуги имат достъп до такъв тип данни, включително, когато устройството е изключено, докато батерията му функционира. За да опростим нещата, нека се спрем на мобилни телефони и мобилни оператори като основен сценарий. В този случай данните са такива, отнасящи се до идентификацията на повикващия и повиквания, продължителността, времето и броя на проведените разговори или местоположението на притежателя на мобилния телефон. Могат да се срещнат още като метаданни. Важно е да се отбележи, че трафичните данни не включват съдържанието на съобщенията или разговорите (което е сърцевината на конституционното право на тайна на кореспонденцията), но все така са лични данни – защото от тях може да се направи много точен и подробен профил на потребителя на устройството, на неговите предпочитания, дори сексуална ориентация, поведенчески навици и всякаква друга крайно чувствителна информация. Това е потвърдено в мотивите и изводите на много национални висши съдилища и органи за конституционен контрол в ЕС, включително от нашия собствен Конституционен съд (виж решение на КС 2/2015 по конституционно дело №8/2014). 

Има ли забрана за обработка на такива данни от държавните институции (достъп и анализ)? 

Всъщност – няма забрана за запазване на данните. Според нашия Конституционен съд „запазването на данните не е поначало неоправдано от конституционно гледище, когато е в границите на поставената легитимна цел и във връзка с критерия за пропорционалност.“ Противоборството между изпълнителната и съдебната власт идва по линия на вменяването на задължение за запазването на тези данни без ограничение на лицата и за твърде продължителен период с цел осигуряването на службите на достъп до тях.

Какво означава изискването, посочено от КС, за наличие на легитимна цел и пропорционалност? Типичен пример за това е необходимостта от установяване на локацията на потребител в случай на спешно повикване (чл.255 от Закона за електронните съобщения – „ЗЕС“). Трафичните данни се запазват към момента от операторите за период до 6 месеца с цел осигуряване на достъп на службите до тях; този срок е приет за „пропорционален“ след отмяната като противоконституционни на разпоредбите на ЗЕС, включително по-дългия срок. За да бъдат обработени така задържаните данни, институциите трябва да получат достъп до тях, а това не е нещо, който следва да се извършва с лекота и без контрол. Дългата предистория на противоборството между правозащитници и конституционалисти, от една страна и служби за сигурност или автократични режими, от друга страна, в ЕС може да бъде маркирана със следните крайъгълни камъни:

След атентатите в Мадрид и Лондон през 2004 и 2005 година, ЕС приема Директива 2006/24 за запазване на данни, която задължава телекомуникационните оператори да съхраняват трафични данни и данни за местоположение за периоди между 6 месеца и 2 години и да ги предоставя на правоохранителните органи при поискване за целите на разследване, предотвратяване и преследване на тежки престъпления, например тероризъм. Tези дейности на правоохранителните органи са в прерогативите на съответното национално законодателство и правителство в демократичните държави, каквито повечето държави в ЕС (всъщност – към онзи момент – всички) са. Това, което следва да е ясно, е, че достъпът е предмет на строги механизми за съдебен контрол – често и предварителен, и последващ, стриктни законодателни мерки за пропорционалност и законоустановеност, придружени с подходящи гаранции за човешките права и т.н. За такова разрешение има добра причина – събитията от 2004 и 2005 г., макар тогава още нераздухани до безпрецедентност от социалните мрежи и неизползвани на максимум от разнородни популисти, са мащабни, трагични, кървави атентати, които дават сериозен повод за подходящи ответни мерки.

Независимо от причината за приемането им, Съдът на ЕС не приема, че мерките са подходящи и ответни, понеже, казано простичко, не всички са терористи. Напротив – всъщност огромното мнозинство хора не са. И имат права, например правото на неприкосновеност на частната сфера и на защита на личните им данни, а тези права са вградени в основите на ЕС посредством член 7 и 8 от Хартата на основните права на ЕС, част от Договора за ЕС. Да речем, че ги пише в Конституцията на ЕС, ако педантичните конституционалисти могат да ми простят тази метонимия. Трябва да се прави ясно разграничение между: (i) така нареченото таргетирано следене (на потенциални терористи и престъпници, за които има основателни съмнения, формирани по законоустановен ред, че са такива) и (ii) повсеместното съхранение на данни, даващо потенциална възможност за следене на всеки един от нас, срещу което именно върви задължителното тълкуване в практиката на СЕС.

2014 и вододелът Digital Rights Ireland

По отношение на втората хипотеза по-горе СЕС, в поредица от дела се обявява срещу повсеместното задържане на трафични данни и данни за местоположение, както и срещу вменяването на задължение на телекомуникационните оператори по законов път за продължителното съхранение на значителна част от тези данни. Въпросът е обект на анализ и пред много други национални висши съдилища в Европа, които често отправят искане за преюдициално тълкуване към СЕС (например – BverW 6.12.18/13.18 – Beschluss vom 25.09.2019). Неограниченото следене на метаданни било от електронни съобщителни услуги или в Интернет е и предмет на производства, развиващи се пред Европейският съд по правата на човека. Виж по темата също и решенията на Трибунала по разследващите органи на Великобритания

Първото от двете най-значими решения на СЕС на тази арена е Digital Rights Ireland от 2014 година. Всъщност, решението е по две обединени дела на СЕС: C‑293/12 и C‑594/12). С него „убива“ Директивата за запазване на данни и слага експлозив в основите на построените върху нея национални закони, вменяващи задължения за запазване на данни на телекомуникационните оператори – в България това е Законът за електронните съобщения. Експлозивът ще гръмне при Tele2Sverige/Tom Watson (решението е разгледано в повече детайл по-долу), за да взриви удобството на службите по отношение на трафичните данни, създадено от горепосочената директива.

Конституционният съд се включва в битката

На следващата година и нашият собствен Конституционен съд (КС) последва тази линия. Интересна подробност е, че това не е просто едно решение на национален съд, който би бил длъжен да зачете тълкуването на СЕС относно Директивата като откаже на приложи акт от по-нисък ранг (ЗЕС), противоречащ на Договора за ЕС. КС директно провъзгласи не просто отделни, а цялостния клъстър от разпоредби в закона, отнасящи се до запазването и достъпа до трафични данни за противоконституционни. В националния правов ред ДЕС и Конституцията имат еднакъв ранг. Така законодателството за запазване на данни беше двойно заклеймено като противоречащо на основния закон – веднъж от СЕС и веднъж от КС. Какви мотиви възприе КС, за да “заличи” норчите, които едновременно създаваха комфорт на службите, задължения за телекомуникационните оператори и прегазваха правата на гражданите? 

Конституционният съд изтъкна, че:

  • Групата норми в ЗЕС (отмененият чл.250а и следващите), уреждащи задържането на данни и предаването им на службите, не съдържа достатъчно истински гаранции срещу злоупотреби;
  • Съхраняването на един толкова значителен обем данни в продължителен период позволява да се направи достатъчно точен личностен профил за всеки, когато неговите контакти, местонахождение и придвижване се подложат на съответния анализ и оценка, а това представлява драстично вмешателство в конституционно защитения личен живот на хора, които никога и по никакъв начин не са участвали и не са били съпричастни към извършването на каквито и да било престъпления. Периодът на съхраняване преди решението за отмяна от КС е в размер на една година, с възможност за удължаване с още до шест месеца без съдебен контрол;
  • Органът, поискал веднъж достъп до трафични данни, по повод на който е упражнен съдебен контрол, може впоследствие да поиска удължаване на срока за съхранение на данните директно от оператора с още до 6 месеца, който срок е сам по себе си значителен;
  • Липсва уреден контрол и върху унищожаването на издадена справка с данни по чл. 250д, ал. 4 ЗЕС, когато тя не се използва за образуване на досъдебно производство – чл. 250е ЗЕС. Ето защо разпоредбите на чл. 250а, ал. 5 и чл. 250е ЗЕС също се оказват несъответни на Конституцията;
  • Съдебният контрол не е ефективен – КС казва, че „Макар и формулирани в уредбата на достъпа до трафични данни, процедурите на съдебен контрол, … се оказват повече от формални и непълноценни“;
  • Пропуск е липсата на процедура по информиране на засегнатите лица. КС изрично изтъква, че „липсва уредена със закона правна възможност, а оттам – и основания и процедура засегнатите от мерките лица, чиито данни са били предоставени на съответните държавни органи, но не са послужили за образуване на наказателно производство или образуваното е било прекратено, да бъдат уведомени за това кога и на какво основание са били обект на тяхното приложение, както и за какво са били използвани.“

В резултат на тези си констатации, КС отменя критикуваните разпоредби на ЗЕС, а впоследствие Парламентът приема друга заместваща уредба (член 251б и следващите от ЗЕС), отчитаща указанията на конституционния орган. Промените имат за цел да гарантират:

  • че органите, оторизирани да заявяват искания за достъп до данните, ще могат да упражняват това си правомощие само в конкретно и изчерпателно уредени в закона случаи
  • че са налице прецизно уредени основания, органи и процедура за получаване на съдебна санкция за достъп до данните, тяхното използване и унищожаване; 
  • че са налице законови гаранции за сигурността на самите предоставени данни, обхвата на тяхната употреба, прозрачността и правната защита, включително осигуряване на специализиран контрол срещу нерегламентирания достъп до данните и възможността за предоставянето им на трети лица извън оторизираните субекти; 
  • че е елиминиран риска от използването им за цели, различни от конституционно оправданите, и то във всички възможни етапи – генериране, запазване, съхранение, предаване, използване, унищожаване от лицата, които ги съхраняват; 
  • оптимизиране на срока на запазване на данните съобразно установените европейски стандарти, националната и европейската практика; 
  • осигуряване на баланс между целта, сериозността на ограничението и предвидените правни средства за защита от неоторизиран достъп до запазените данни от телекомуникация, вкл. и наказателноправни, ако такива бъдат създадени.

Последващо развитие – Tele2Sverige/Watson

Позицията, че на територията на ЕС повсеместното следене не е добре дошло, добива още по-голяма категоричност с решението на СЕС по съединени дела Tele2Sverige/Watson (C‑203/15 и C‑698/15). В това свое решение СЕС тълкува Директива 2002/58 относно неприкосновеността на личния живот и електронните комуникации (“ePrivacy”), изхождайки от Хартата на основните права в ЕС, коментирана по-горе. Директивата ePrivacy е по-малко известната директива от двата нормативни акта, адресиращи неприкосновеността на личните данни и личния живот в ЕС, особено в дигитален контекст. Другият акт е Директива 95/46 за защита на личните данни, отменена от GDPR. ePrivacy е именно онзи акт, който развива на конкретно ниво в контекста на електронните съобщителни услуги абстрактните норми на Хартата на основните права, прогласяващи неприкосновеността на личния живот и личните данни. Преамбюлът на ePrivacy предвижда в съображение 27: „Точният момент на приключването на предаването на комуникация, след който данните за трафика трябва да бъдат изтрити, с изключение за целите на изготвяне на сметка, може да зависи от типа на електронни комуникационни услуги, който е доставен. Например за гласово телефонно повикване, предаването ще приключи веднага щом потребителите приключат връзката…“ Чл.5 от същата директива утвърждава принципа за конфиденциалност на комуникациите, забранявайки в обработката на трафични данни от лица, различни от потребители, без съгласието на потребителите. Аналогично чл.9 от ePrivacy допуска обработката на данни за местонахождение само след анонимизиране или със съгласието на потребителя за целите на предоставяне на услуга с добавена стойност (има се предвид различна, допълнителна услуга от преноса на съобщения по електронни мрежи за комуникация); съгласието може да бъде оттеглено по всяко време, включително временно.

Член 15 на ePrivacy именно предвижда възможност за националните законодателства да уредят изключение от чл.5 и 9, уреждащи конфиденциалността на трафичните данни и данните за местоположение; изключенията трябва да се отнасят за ограничен период, да са в съответствие с правото на ЕС, в това число ДЕС и на гражданите на съответните страни трябва да са уредени средства за съдебна защита: по отношение на тях ePrivacy препраща към Директивата за защита на личните данни, вече – GDPR. Изключенията да се правят само за нуждите на националната сигурност, отбрана, обществена безопасност и превенция, разкриване и преследване на криминални нарушения. Освен това задържането на данни следва да бъде за определен период от време. 

Въпреки рестриктивната разпоредба на чл.15, националните държави, включително България, прокарват, всяка по свое усмотрение, законодателство относно задържането и достъпа на службите до данни, което разтяга до максимум предвиденото изключение.

В Tele2Sverige СЕС очертава дефинитивно позволените от гледна точка на Хартата на основните права предели на изключенията от неприкосновеността на трафичните данни, които могат да залегнат в националните законодателства: изисква се наличието на „обективни доказателства“, които са основание за определяне на кръг от лица, чиито данни могат да разкрият връзка, било то и косвена, с тежки престъпления. Съдът нееднократно акцентира именно върху тежестта на вероятните престъпления и върху необходимостта от съдебен контрол като предпоставка за легитимност на подобни разпоредби във вътрешното законодателство. Следва да припомним, че тълкуването на СЕС относно съвместимостта на националното право с правото на ЕС е задължително за националните съдилища. 

Тъй като тълкуването на правото на ЕС от страна на СЕС е задължително за националните съдилища, приемането на законодателство, което е в разрез с ясно изложените от СЕС принципи на законност и пропорционалност по отношение задържането и достъпа до трафични данни, не е съвместимо с ДЕС през призмата на член 15 от ePrivacy. Такова законодателство, когато не отговаря на критериите, очертани от СЕС, следва да бъде отменено като противоречащо на правото на ЕС. 

Не на последно място, следва да се отбележи, че, като ранен предвестник на GDPR идеологията по отношение на личните данни, СЕС още през 2015 година пояснява, че службите са длъжни да информират субекта на данни за осъществения достъп до трафичните му данни незабавно, щом уведомяването спре да бъде заплаха за разследването – мярка, която служи да предотврати злоупотреби с искането на достъп. 

Службите: „Нека опитаме още веднъж!“ 

Решенията Digital Rights Ireland и Tele2Sverige/Watson изглеждат като окончателен и безапелационен триумф на човешките права над културата на масово следене, така нехарактеран за ЕС. Но службите не се предават лесно. В самото начало на тази година, преди пандемията да потисне инстинктите ни за свобода и желанието за неприкосновеност на личната сфера, генералният адвокат на СЕС се налага да припомни защо безконтролният и повсеместен достъп до трафични данни противоречи на общностното право. Заключенията по съединени дела С-623/17, С‑511/18, С‑512/18 и C‑520/18 (в които достъпът до данни се търси в контекста на национална сигурност и тероризъм) са отново категорични: 

  1. Национални разпоредби, допускащи общо и неизбирателно запазване на лични данни за дълъг период от време не съответства на изискванията на Хартата и на ePrivacy. Практическата ефективност (по-лесно е да се пазят данните на всички вместо данните само на онези, за които може да има съмнение, че са извършили тежко престъпление) в случая е без значение; от значение е само правната ефективност. 
  2. Задължителен е предварителният контрол – заради необходимостта от конкретна преценка на основателността на искането в допълнение към абстрактните законови критерии – било от съд, било от независим административен орган, в отговор на мотивирана молба на компетентните органи.
  3. Задължително е информирането на засегнатите лица.
  4. Данните трябва да останат в рамките на ЕС.

Делата са образувани по повод действията на националните служби за сигурност от Англия, Франция и Белгия.

Златният шанс: етикетът COVID-19 в очите на българския законодател е по-опасен от тероризъм

Нашите служби и местният парламентарен елит не са смутени от категоричността на висшите национални и европейски съдилища. Те не се плашат от обявяване за противоконституционни на разпоредби, нито от наказателни процедури срещу България или пък дела за нарушение на човешките/цифрови права и смело сграбчват шанса, предоставен им от пандемията. Тихичко и бързичко, първо със Закона за извънредното положение, а после и с неговите изменения, те приемат неограничени със срок промени в ЗЕС, които въвеждат правомощия на куп органи, които на са ДАНС, неозаптени от законодателни гаранции и предварителен контрол дори в по-голяма степен от отменените по искане на тогавашния омбудсман и бивш председател на ВАС Константин Пенчев с решението на КС от 2015 текстове.

Новите текстове (чл.251б, ал.2, изр.3, чл.251в, ал.2, изр.2, чл.251г, ал.4, чл.251г1, ал.3 и 4) позволяват достъп до данните за местоположение на абонатите на публични електронни съобщителни услуги, които попадат в много широката хипотеза на чл. 61 от Закона за здравето. Това не са само болни от COVID-19. Това може да са заразоносители (лица с положителен бърз тест/PCR? – точна дефиниция липсва), може да са контактни на такива лица – например, всички от мотрисата на метрото, в което се е возил предполагаем COVID-19 носител. Болестта може да не е само COVID-19, а много други, изредени в чл. 61 болести. Също така, министърът на здравеопазването със заповед може да прибави и други заразни болести, например грип, варицела или вирусен конюнктивит.  Ясно е, че тези препратки създават врата в полето и на практика всички можем да попаднем в дефиницията на лица, чието местоположение може да следи по всяко време. Интересно е, че досега подобна възможност не се предвиждаше (може би споменът за решението на КС от 2015 година е бил прекалено пресен), макар чумата и холерата да звучат в някакъв смисъл по-притеснително от COVID-19, който голям процент от хората все пак прекарват без изявена симптоматика. 

Ако се върнем към дискутираните по горе решения на СЕС и чл.15 на ePrivacy директивата ще установим, че тълкуването на съда и текстът на нормативния акт обвързват ограничението на правото на конфиденциалност на трафичните данни и данните за локация единствено с преследването и предотвратяването на тежки престъпления и с национална сигурност. Ето защо възприемането на подобна мярка по повод на поведение, което в най-лошия случай представлява единствено административно нарушение, е категорично непропорционална както в светлината на решението на КС, така и на трайната практика на СЕС. Да не говорим, че при този тип проследяване липсва елементът, който е решаващ за контрола на действията на службите, а именно – предварителния съдебен контрол – в разрез с установения принцип за разрешение от съдия на достъпа, който присъства в останалите случаи (с изключение на непосредствената опасност от извършване на тежко престъпление). Би могло да се възрази, че в случая такава гаранция за законност не е необходима, тъй като се иска достъп само до данните относно това, в обхвата на коя мобилна клетка се е намирал/намира абоната в даден момент. Спорно е доколко този тип информация може да послужи за предотвратяване на заразата, но със сигурност може да създаде опасен прецедент в пропускането на важни елементи от гаранциите за законност при прилагането на изключението от принципа на конфиденциалност и незадържане на трафични данни и данни за местоположение на абонатите на публични електронни съобщителни услуги. 

Още по-непремерено и необслужващо претендираната цел изглежда новото изключение, ако се разгледат оправомощените да искат достъп до тези данни с цел опазване нацията ни здрава. Достъп до данните за местоположение на почти всички, които може да са заразно болни в даден момент, имат правомощия да искат от операторите, например, и КПКОНПИ и гранична полиция, и обикновената полиция. Интерес буди хипотезата, в която подобни данни за предотвратяване на административни нарушения по Закона за здравето биха могли да послужат на КПКОНПИ. 

Слонът в стаята – GDPR

Сякаш не стига това, че нашият ЗЕС нарушава Хартата за основните права на ЕС и Конституцията, ами директно противоречи и на един регламент, който влезе в сила на 25 май 2018 година и който не виждаме да се споменава в публичната дискусия в контекста на достъпа до трафични данни от страна на полицията. Това е така, тъй като службите като правило имат право да обработват лични данни по реда на глава 8 на ЗЗЛД, транспонираща Директива 2016/680. Тази директива урежда правилата относно защитата на физическите лица във връзка с обработването на личните данни от компетентните органи за целите на предотвратяването, разкриването или наказателното преследване на престъпления или изпълнението на наказания. Този ред, обаче, не се прилага по принцип, а само ако става дума за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, а не за административни нарушения като гореописаното. При невъзможност да се приложи този ред, действат правилата на GDPR. Какво би следвало да означава това за органите на реда е тема, която отива отвъд целта и поносимия обем на тази статия. Може да се направи обосновано допускане, че необходимостта от съобразяване с регламента е убягнала на законодателя, когато е творил посочените текстове (както беше убягнала и на НАП, докато обработваха данните на 5 милиона граждани). Все пак следва да бъде припомнено, че, в условията на прилагане на GDPR МВР ще действа като обикновен администратор на лични данни. 

БСП в ролята на бранител на конституционализма

Дефектите на новата законодателна кръпка не са убягнали на юристите на опозицията и те са сезирали КС (дело 4/2020). Не се очакват изненади, но, докато чакаме КС да се произнесе, исканията за достъп до данни към днешна дата вече се използват активно. Очакваме всеки момент и решението на СЕС по делата, по които имаме произнасяне на генералния адвокат през януари 2020 за трафичните данни, разгледани по-горе. Междувременно, както беше споменато по-рано засегнатите лица разполагат със средства за съдебна и административна защита по линия на GDPR – чл.79. 

Заключение 

Отказът от принудителна изолация и лечение по закона за здравето е административно нарушение, но мярката на ограничение на правото на неприкосновеност на личната сфера в контекста на електронните съобщителни услуги според СЕС и КС е допустима при тежки престъпления и заплаха за националната сигурност. Изглежда, че тази законодателна кръпка е направена или в условията на пълна амнезия относно тълкуването на Конституцията и ДЕС, дадено от най-висшите в българския правов ред съдилища само преди 5 години или съвършено съзнателно – в условията на парализа на обществения живот и като жест на отстъпление от съществуващите в ЕС гаранции за гражданските права. Набива се на очи и липсата на изрично ограничение на периода на обработка на тези данни от страна на службите, както и отказа от предварителен съдебен контрол. Излиза, че един разхождащ се (възможно) заразен от COVID-19 e по-опасен за обществото от терорист, макар че всъщност той може и да не се е срещал с хора, независимо, че е напуснал дома си. Това е един опасен прецедент, опит за завръщане към обявения за протиконституционен режим на достъп до трафични данни и то като трайна мярка. С последните изменения на Закона за здравето (една хитра, но несъобразена с правилника на Народното събрание законодателна техника, превърнала се по-скоро в норма през последните години) законодателят премахна срока за прилагането на новите, предполагаемо противоконституционни текстове от ЗЕС – те ще се прилагат и в „мирно време“, без оглед на края на извънредното положение, до отмяната им от КС. Липсват ясни критерии кога дадено лице се счита за заразено, като достъпът до данни се разпростира и върху близките му и предполагаемо „контактни лица“ и изрично е премахнато изключението за прилагане на тази мярка по отношение на съдии. Всички тези детайли позволяват да се заключи, че на практика липсва жизнеспособен механизъм за ограничаване на мярката до определени лица и разпоредбите имат потенциал да позволят повсеместно и безразборно проследяване на локацията на всички мобилни абонати, намиращи се на територията на българските мобилни клетки, по всяко време. Режимът потъпква и формулираният от СЕС критерий за законосъобразност – предварителен съдебен контрол (освен в случаите на необходимост от предотвратяване на непосредствена опасност от извършване на тежко престъпление). Ако се върнем към теста за съвместимост на националните законодателства с правото на ЕС по отношение на задържането и достъпа до трафични данни и данни за местоположение, формулиран в Tele2Sverige, законодателната кръпка на ЗЕС напълно се проваля: липсват „обективни доказателства“, които да станат основание за определяне на „кръг от лица“, чиито данни могат да разкрият „връзка, било то и косвена, с тежки престъпления“. Ето защо като че ли това дописване на ЗЕС може да бъде определено с една-единствена дума – полицейщина, и то двукратно обявена за противоречаща на основния закон и правото на ЕС.

Всички тези аргументи не попречиха на промените да влязат в сила, но пък те не останаха незабелязани. И така, битката за неприкосновеност на личната сфера в дигиталното пространство от произвола на националните държави – епизод пореден – продължава – както на национално, така и на наднациолно ниво.

Изображение: Pexels by Burst, Free to use license

Leave a comment