У рішеннях у справах “Біг Бразер Воч” та інші проти Сполученого Королівства (об’єднані справи 58170/13, 62322/14 and 24960/15) і “Центр правосуддя” проти Швеції (no. 35252/08) Європейський суд з прав людини (далі – ЄСПЛ) визнав, що Велика Британія і Швеція порушили статтю 8 Конвенції про захист прав людини і основоположних свобод (право на повагу до приватного і сімейного життя, до житла і кореспонденції).
Справи стосувалися проведення спецслужбами цих країн масового перехоплення повідомлень (електронних листів, телефонних розмов тощо) в рамках розвідувальної діяльності.
-
Big Brother Watch та інші проти Сполученого Королівства
Обставини справи
Три скарги, які були об’єднані в одну справу, до ЄСПЛ подала низка неурядових організацій, серед яких “Біг Бразер Воч”, “Амнесті Інтернешнл”, “Англійський ПЕН-клуб” та інші. Поштовхом до звернення стали викривальні свідчення колишнього спецагента США Едварда Сноудена щодо заходів масового стеження і перехоплення повідомлень спецслужбами США і Великої Британії.
Дійсно, Велика Британія має дві передбачені законодавством системи масового перехоплення даних. Обидві системи передбачають проходження перехопленої інформації через кілька рівнів, після чого лише невелику кількість відкривають і досліджують.
Наприклад, якщо повідомлення підпадають під певні, обрані спецслужбами критерії (в ньому міститься електронна адреса, пов’язана із необхідними спецслужбовцям особами), система збирає їх, автоматично відкидаючи всі інші. Після цього проводиться процес сортування, під час якого аналітики відбирають повідомлення, які мають найбільшу значимість і тільки тоді їх відкривають і досліджують. |
Подібні системи функціонують і у США: PRISM і Upstream. При цьому спецслужби обох країн можуть обмінюватися отриманими даними.
Заявники у трьох заявах поскаржилися на невідповідність статтям 8 (право на приватність) і 10 (свобода вираження поглядів) Конвенції трьох режимів доступу до даних: режиму масового перехоплення даних, передбаченого Законом про повноваження слідства (Regulation of Investigatory Powers Act, 2000) Великої Британії; режиму отримання розвідданих іншими органами від служб зовнішньої розвідки, а також від іноземних органів розвідки; режиму отримання даних від постачальників послуг зв’язку.
Чого стосувалися три скарги?
- У першій з них заявники зверталися до уряду Великої Британії щодо невідповідності Конвенції законодавства про масове перехоплення. У відповідь їм пояснили, що з такими скаргами вони мають звертатися до Слідчого трибуналу (Investigatory Powers Tribunal), який розглядає справи щодо порушень у сфері перехоплення даних.
- Скаржники за другою скаргою не зверталися до жодного державного органу Великої Британії, бо вважали, що країна не передбачає процедур захисту прав у сфері перехоплення даних.
- Скаржники за третьою скаргою все ж звернулися до вже згаданого Слідчого трибуналу.
За результатами розгляду цих скарг трибунал у кількох рішеннях визнав, що під час масового перехоплення і збереження даних, які стосувалися, зокрема, організацій-скаржників, були допущені технічні порушення, які не призвели до серйозних наслідків. А загалом законодавство Британії з цього приводу відповідає Конвенції.
Основні доводи заявників у скарзі до ЄСПЛ:
Доводи заявників:
- навіть звичайне зберігання персональних даних є суттєвим втручанням у приватність. Ще суттєвішим є той факт, що перехоплені дані піддаються автоматичній обробці і зберігаються, як “впорядкована бібліотека”, що дозволяє службовцю в будь-який момент знайти все, що той захоче (тобто спрощується можливість зловживання);
- ЄСПЛ має оновити підхід до того, що є прийнятним в контексті перехоплення інформації, а що ні, адже чинна практика заснована на рішенні 2006 року, коли можливості Інтернету і телефонів були далекі від сьогоднішніх;
- варто впровадити стандарти для фільтрування даних під час перехоплення, критерії для перехоплення повинні встановлюватися судом. На думку заявників, у Британії не було жодної нормальної процедури отримання дозволів на перехоплення даних. При цьому, якщо спецслужби шукають дані, що стосуються певної особи, повинні бути докази підозри цієї особи в причетності до певних подій, процесів тощо;
- у відповідному законодавстві чітко не прописано, на яких підставах ті чи інші перехоплені повідомлення можуть бути відкриті і перевірені спецслужбовцями.
Які основні висновки зробив ЄСПЛ
- ЄСПЛ вважає, що на будь-якому рівні дослідження перехоплених даних існує втручання в особисте життя в розумінні статті 8 Конвенції. Це стосується навіть звичайного зберігання персональних даних. З кожним етапом втручання збільшується.
- На думку суду, законодавство повинно обов’язково чітко встановлювати такі гарантії: ліміт тривалості перехоплення, процедуру збереження, вивчення, аналізу перехоплених повідомлень, заходи захисту даних при передачі іншим сторонам, а також випадки, коли перехоплені дані повинні бути видалені.
- На державному рівні повинен існувати незалежний від виконавчої влади орган, який здійснюватиме нагляд за перехопленням даних і подальшими операціями з ними. Саме цей орган визначатиме, чи потрібно перехоплювати дані, чи можна їх зберігати, досліджувати тощо.
- Іноземним спецслужбам може передаватися лише та інформація, яку зібрано у відповідності до Конвенції. Більше того, внутрішнє законодавство країн повинне передбачати обставини, за яких інформацію можна передавати. Проте у випадку з передачею до США інформації, отриманої британскими спецслужбами, загалом було дотримано гарантій, які б убезпечували від зловживань.
- Законодавство щодо масового перехоплення не гарантує надійного захисту конфіденційній журналістській інформації, зокрема журналістським джерелам. Немає вимоги, за якою б спеціальний орган (суд абощо) окремо давав дозвіл на відбір даних щодо журналістів після масового перехоплення. Небезпека полягає в тому, що в масі перехоплених даних можуть бути відомості про джерела журналістської інформації, які без жодного додаткового дозволу можуть розсекретити спецслужбовці.
Узагальнення
ЄСПЛ визнає масове перехоплення повідомлень важливим і необхідним процесом для виявлення небезпек для країни. Це підкріплено і тим, що тероризм набирає все більш витончених форм. Але, незважаючи на це, законодавство Великої Британії не передбачало достатньо “наскрізних” гарантій щодо протидії зловживанням у сфері масового перехоплення даних. Зокрема, немає механізму незалежного санкціонування (спеціального органу, уповноваженого контролювати дотримання гарантій прав людини при перехопленні даних), а також механізмів попереднього затвердження відповідними органів критеріїв, за якими поміж усіма перехопленими даними шукатимуть необхідні. Такі проблеми у законодавстві щодо масового перехоплення порушують статтю 8 Конвенції.
Також відсутність достатніх гарантій щодо перехоплення журналістських даних у відповідному законодавстві порушує статтю 10 Конвенції, тобто право на свободу вираження думки.
Водночас, процедура отримання владою Великої Британії даних від служб зовнішньої розвідки є прийнятною і має нормальні законодавчі гарантії. Цей процес не порушує статті 8 і 10 Конвенції.
-
“Центр правосуддя” проти Швеції
Обставини справи
Неурядова організація “Центр правосуддя” (Centrum för rättvisa) є шведською правозахисною організацією, яка зокрема, представляє інтереси клієнтів у судах, займається освітньою і науковою діяльністю. “Центр правосуддя” постійно спілкується з широким колом осіб, як всередині країни, так і за її межами за допомогою телефону, факсу, а також електронної пошти. Через це в організації вважають, що її спілкування може бути або вже було перехоплене спецслужбами, що є порушенням статті 8 Конвенції.
При цьому організація не зверталася по захист до місцевих органів, бо вважає, що засобів захисту у таких випадках у Швеції не існує.
Законодавство Швеції передбачає, що збирання повідомлень (перехоплення даних) може відбуватися лише після чітко поставлених завдань щодо цілей і мети. Зовнішня розвідка може перехоплювати дані тільки в передбачених випадках, які стосуються: зовнішніх загроз безпеці країни, розповсюдження зброї масового знищення, міжнародної безпеки тощо.
Доводи заявника:
- Масове перехоплення повідомлень саме по собі не відповідає Конвенції про захист прав людини та основоположних свобод. При цьому будь-яке прослуховування має відбуватися лише за санкцією суду. Заявник вважає за необхідне створити відповідне прецедентне рішення;
- Якщо під час перехоплення повідомлень спецслужби мають конкретну особу, інформацію про яку шукають, то у такому випадку мусить бути законна підозра. Якщо конкретної особи немає, то уповноважений орган повинен контролювати, щоб персональні дані інших людей використовувалися лише в рамках вузько визначених завдань зовнішньої розвідки;
- У Швеції відсутній ефективний захист прав, а також орган, до якого можна було б оскаржити порушення у сфері перехоплення даних і вимагати притягнення винних до відповідальності.
- Заявник занепокоєний тим, що директиви із завданням на перехоплення даних може видавати й поліція. Більше того, Поліція безпеки з 2018 року має доступ до перехоплених даних.
До яких висновків дійшов ЄСПЛ
- Законодавство Швеції щодо масового перехоплення повідомлень зрозуміле і в повній мірі окреслює підстави проведення перехоплень.
- Водночас, недоліком є те, що у законодавстві Швеції відсутнє врегулювання ведення обліку кожного етапу перехоплення даних. Згадка про облік є тільки у внутрішніх інструкціях, чого, на думку ЄСПЛ, недостатньо.
- Шведське законодавство не покладає на відповідні органи обов’язку враховувати інтереси приватних осіб при передачі даних іншим країнам. Тобто Швеція не несе відповідальності за дані, які вже передали іноземним спецслужбам, і це ЄСПЛ вважає відсутністю обов’язкових гарантій для прав людини.
- Швеція має досконалу систему нагляду за проведенням масового перехоплення і обробки перехоплених даних. Йдеться про роботу Інспекції з зовнішньої розвідки і Суду із зовнішньої розвідки. Саме цей суд надає дозволи на проведення перехоплень.
- Законодавство Швеції недосконале щодо процедури оскарження масових перехоплень постфактум. На відміну від, наприклад, Великої Британії, де є спеціальний орган, який розглядає відповідні скарги.
Узагальнення
Суд вважає перехоплення даних і співпрацю країн у цій сфері дуже важливою і законною. Однак є три проблеми у законодавстві і процедурах Швеції: відсутність чіткого правила знищувати перехоплені повідомлення, які не містять персональних даних; відсутність вимоги враховувати інтереси окремих приватних осіб при передачі перехоплених даних спецслужбам інших країн; відсутність ефективного захисту прав осіб постфактум (за скаргами на порушення при перехопленні повідомлень).
Тож незважаючи на загалом позитивну оцінку шведського законодавства і практики масового перехоплення, перераховані вище недоліки є порушенням статті 8.
Що означають ці рішення?
Ці два рішення є дуже важливими для країн, розвідки яких займаються масовим перехопленням даних або ж співпрацюють з іноземними спецслужбами.
По-перше, ЄСПЛ не вважає масове перехоплення даних як таке порушенням права на приватність. На його думку, це втручання у приватність, яке, однак, необхідне для безпеки людей і держави.
По-друге, ЄСПЛ вказав на необхідність “наскрізних гарантій”. Це означає, що перед проведенням масового перехоплення даних і на кожному його етапі дотримання прав людини і законність втручання повинні регулювати спеціальні органи. Водночас, особа повинна мати можливість оскаржити обробку даних, які її стосуються.
На практиці це означатиме, що країни, в яких ще немає незалежного від уряду органу, уповноваженого стежити за дотриманням прав під час перехоплень даних, можуть потерпати від скарг до ЄСПЛ, поки не створять його. Це стосується і процедури оскарження перехоплення даних певної особи постфактум: якщо її немає, країни будуть змушені виплачувати компенсації постраждалим. Для цього, до речі, доведеться забезпечити людям можливість дізнаватися про те, що дані щодо них перехопили.
По-третє, держави муситимуть дотримуватися правил щодо видалення перехоплених даних. Наприклад, якщо особа дізнається, що її перехоплені розмови зберігаються в архівах довше законного терміну, вона може скаржитися до ЄСПЛ і вимагати компенсацію.
І по-четверте, країни несуть відповідальність за перехоплені дані, які передали іншим країнам в рамках співпраці. Якщо уряд передав щось зайве або не передбачив, що в іншій країні можуть зберігати дані понаднормово, це буде відповідальність і держави-перехоплювача.