Закон і Бізнес


Під тотальним контролем

Коли збір і зберігання даних користувачів Інтернету порушує права людини: нова практика ЄСПЛ


ЄСПЛ дійшов висновку, що збирання та зберігання інформації про активність у мережі має бути таким самим екстраординарним випадком, як таємне стеження.

20.03.2024 13:14
АНТОН АЛЄКСЄЄВ, директор IAC ISHR monitoring,
3665

Чи допустимий збір даних про пересування і місцезнаходження на всіх користувачів «про всяк випадок», аби колись, в разі необхідності, отримати доступ і проаналізувати їх? Свою позицію з цього приводу висловив ЄСПЛ.


Трафік як доказ

15 лютого цього року ЄСПЛ ухвалив рішення у справі «Škoberne v. Slovenia» (заява №19920/20), яка стосувалася засудження у 2013 році колишнього судді за хабарництво. Вирок ґрунтувався на заявах двох інших підсудних, які були посередниками, а також даних про його пересування та місцезнаходження, отримані відповідно до режиму зберігання даних, що діяли на той час у Словенії.

У цьому рішенні цікавий епізод, пов’язаний з оцінкою збирання та зберігання особистої інформації постачальником телекомунікаційних послуг. Хоча в Словенії можуть зберігатися телекомунікаційні дані, необхідні лише для комерційних цілей, на момент засудження заявника, постачальники послуг зв’язку були зобов’язані зберігати всі дані систематично і без розбору протягом 14 місяців. ЄСПЛ зауважив, що таке зберігання даних виходить за межі рамок, які є необхідними у демократичному суспільстві.

Важливо зазначити, що на думку ЄСПЛ у справі не було жодних підстав ставити під сумнів постанову національного суду щодо телекомунікаційного трафіку та даних про місцезнаходження заявника. Те, що викликало занепокоєння, — ширший контекст, зокрема, словенський закон, який регулює зберігання даних, що діє на той час.

Цей закон вимагав, щоб постачальники послуг електронного зв’язку зберігали комунікаційні дані, що стосуються фіксованої та мобільної телефонії, протягом 14 місяців з метою захисту суспільних інтересів. Тобто зберігання телекомунікаційних даних заявника мало досить чітку правову основу.

На думку ЄСПЛ, таке втручання у право на недоторканність приватного життя є дуже серйозним, і тому Європейський суд приділив цій обставині особливу увагу. Зокрема, важливою є наявність у законі встановлених гарантій та критеріїв, щоб уникнути зловживань та забезпечити пропорційність заходу.

Вивчаючи деталі цієї справи, ЄСПЛ дійшов висновку, що систематичне, загальне та невибірне зберігання комунікаційних даних не відповідає зобов’язанням держави за ст.8 Конвенції про захист прав людини і основоположних свобод. Такий режим зберігання даних був загальним та невибірним, а отже, порушував права користувачів на конфіденційність.

Вторгнення у приватне життя

У своїх рішеннях ЄСПЛ раніше зачіпав проблематику доступу до даних користувачів. У справі «Ekimdzhiev and Others v. Bulgaria» Європейський суд вже встановив, що дані про передплатників, трафік та місцезнаходження можуть відноситися — окремо або у поєднанні — до «приватного життя» відповідних осіб. Крім того, він встановив, що просте зберігання даних, що належать до будь-якого особистого життя, рівносильне втручанню в право цієї людини на повагу до її «приватного життя».

Цікаво, що Євросуд прирівнює зберігання зазначених вище даних до втручання у право на повагу до кореспонденції особи.

У цьому рішенні ЄСПЛ вкотре повторює, що з урахуванням технологічних та соціальних розробок у сфері електронних комунікацій, комунікаційні дані нині можуть розкривати велику кількість особистої інформації. Якщо влада отримує широкий доступ до даних, це може бути використано для виявлення інтимної картини життя людини, зокрема, шляхом аналізу діяльності в соціальних мережах, відстеження місцезнаходження, моделей спілкування та розуміння того, з ким ця людина взаємодіяла. Тому отримання таких даних шляхом всеосяжної фіксації може бути таким самим вторгненням у приватне життя, як і отримання доступу до особистого листування. Таким чином, ЄСПЛ вважає, що збирання та доступ до загальних даних про активність людини в мережі є таким самим порушенням права на особисте життя, як і читання особистого листування цієї людини.

Що ж до випадків, коли збирання та аналіз подібних даних є дійсно необхідним, Євросуд вказує на те, що законність втручання тісно пов’язана з питанням, чи був виконаний тест на «необхідність». Тому він вважав за доцільне розглянути спільно вимоги «відповідно до закону» та «необхідність».

«Якість закону» в цьому сенсі має на увазі, що внутрішнє законодавство має бути не тільки доступним і передбачуваним при його застосуванні, а й забезпечувати, щоб таємні заходи спостереження застосовувалися лише тоді, коли це дійсно «необхідне у демократичному суспільстві» – зокрема шляхом надання адекватних та ефективних гарантій, у тому числі гарантій від зловживань. Таким чином, збирання та зберігання інформації про активність у мережі має бути таким самим екстраординарним випадком, як таємне стеження за конкретною людиною.

З точки зору врегулювання збору загальних даних ЄСПЛ прийшов до висновку, що ступінь втручання в права окремих осіб (згідно зі ст.8 конвенції) збільшується, чим довше такий збір здійснюється. Суд зазначив, що навіть просте зберігання даних, які стосуються приватного життя людини, є рівнозначним втручанню за змістом ст.8.

У зв’язку з цим, Європейський суд уточнив, що у випадках, коли у державі діє режим масового збору даних, внутрішнє законодавство зобов’язане встановлювати детальні правила щодо того, коли влада може вдатися до подібних заходів. Зокрема, внутрішнє законодавство має з достатньою ясністю викладати підстави, на яких можна дозволити масовий збір даних.

Крім того, внутрішнє законодавство повинно встановлювати обмеження на тривалість подібного збору даних та процедури, яким необхідно слідувати при вивченні, використанні та зберіганні отриманих даних, а також запобіжні заходи, які мають бути вжиті при передачі даних іншим сторонам, та обставини, за яких зібрані дані можуть бути знищені.

У тому ж контексті ЄСПЛ ухвалив, що для мінімізації ризику зловживання масовим збором даних, процес має піддаватися «наскрізним гарантіям». Це означає, що (а) на внутрішньому рівні на кожному етапі процесу має проводитися оцінка необхідності та пропорційності вживаних заходів, (б) масовий збір даних повинен підлягати незалежному дозволу від початку, коли визначається об’єкт і обсяг подібних операцій, і (в) операція повинна підлягати нагляду та незалежній оцінці.

Що стосується питання про те, чи було втручання «необхідним у демократичному суспільстві», то національна влада користується певним ступенем самостійності при виборі засобів для досягнення законних цілей, зокрема захисту національної безпеки чи запобігання та переслідування кримінальних злочинів. Тим не менш, ці межі підлягають європейському нагляду, що охоплює як законодавство, так і рішення про його застосування, та враховуючи всі обставини справи, такі як характер, обсяг та тривалість можливих заходів, підстави, необхідні для їх застосування, органи, уповноважені санкціонувати, здійснювати та контролювати такі заходи, а також вид засобів правового захисту, передбаченого національним законодавством.

Життя в атмосфері страху

Цікавою темою, яку аналізує ЄСПЛ, є проблема впливу збору даних на поведінку людини. Справа «Škoberne v. Slovenia» стосувалася телекомунікаційних даних, які, коли вони пов’язані з передплатником або користувачем, можуть розкривати інтимні фотографії його чи її життя за допомогою аналізу активності в соціальних мережах, відстеження розташування, аналіз моделей поведінки користувачів та розуміння того, з ким вони взаємодіяли.

На думку Суду, системний нагляд, який тягне за собою обов’язкове зберігання телекомунікаційних даних, перешкоджає реалізації права на недоторканність приватного життя всіх користувачів телекомунікаційних послуг. Існування великих баз телекомунікаційних даних та постійне зберігання таких даних зі зрозумілих причин може викликати почуття вразливості і може завдати шкоди здатності людей користуватися правом конфіденційності листування, розвивати відносини з іншими людьми та реалізовувати інші основні права.

У зв’язку з цим ЄСПЛ також посилається на такі зауваження: комунікаційні дані, взяті в цілому, можуть дозволити «зробити дуже точні висновки щодо приватного життя осіб, чиї дані були збережені», і що їх зберігання та обробка, як наслідок, є «широким і особливо серйозним втручанням» у їхні основні права.

Щодо цієї справи, ЄСПЛ зазначає, що закон Словенії, який регулював питання телекомунікацій, заради цілей, які становлять суспільний інтерес, зобов’язував зберігати протягом 14 місяців усі комунікаційні дані, що генеруються або обробляються під час надання відповідних послуг громадського зв’язку. Закон, схоже, не залишав жодного вибору щодо цього на розсуд будь-якого державного або недержавного органу і був однозначним щодо його застосування. Кожна фізична або юридична особа, яка використовувала послуги постачальників телекомунікацій у Словенії, могла очікувати, що її телекомунікаційні дані будуть збережені в рамках великого збору даних. Однак недвозначність закону, який, як правило, потребує загального та невибірного зберігання телекомунікаційних даних, не може бути сприйнята як достатня гарантія відповідності принципам верховенства права та пропорційності.

Описана вище ситуація вказує на те, що саме усвідомлення людиною того, що дані про її активність у мережі зберігаються і можуть бути передані та використані третіми особами (включаючи державні органи) вже впливає на поведінку людини, потенційно обмежуючи її свободу дій.

Дана скарга — приклад того, коли порушення права виходить за межі вузького контексту конкретної справи.

У рішенні ЄСПЛ зазначає, що для цілей ст.8 конвенції не має особливого значення те, що при засудженні заявника національні суди послалися на обмежений діапазон телекомунікаційних даних, що розглядаються, що стосувалися періоду у місяць або близько того. Скарга заявника стосувалася всього набору його даних, що стосуються 14-місячного періоду, отриманих правоохоронними органами, а потім опрацьованого, збереженого та перевіреного з метою кримінального розгляду. Не було жодних сумнівів у тому, що така кількість даних була скоріше збережена в рамках загального та невибірного режиму зберігання даних, який, на думку Європейського суду, порушує ст.8 конвенції.

Причому дане порушення не є виключно «потенційним» або «пасивним» (тобто таким, яке може нашкодити людині лише у випадку, коли нею з якоїсь причини зацікавиться влада). Адже саме усвідомлення людиною того, що дані про її активність в мережі фіксується, вже впливає на поведінку людини, обмежуючи свободу її дій та створюючи атмосферу страху і тотального контролю.

Закон і Бізнес