После переломного 2013 года защита данных и приватность постоянно сохраняли актуальность, статей и новостей на эту тему было опубликовано больше, чем в течение двух предыдущих лет вместе взятых. Также в несколько раз увеличилось количество обращений к инспекции по защите данных.[1] Результаты опроса «Евробарометра» 2014[2] года установили, что несмотря на разоблачения Сноудена и, например, опубликования клиентской базы FinSpy, эстонцы в общем случае в электронных и приватных вопросах остаются оптимистичными.
Судебная практика и направления правового развития
На европейской плоскости 2014 год принес два решения с далеко идущим влиянием, которые в Эстонии были восприняты скорее со сдержанным вниманием. Первым из них, несомненно, является решения суда Европейского Союза в деле Seitlinger и Digital Rights Ireland,[3] в котором суд задним числом объявил директиву ЕС № 2006/24 «О сохранении данных» неправомочной. По аргументации суда можно подвести следующий краткий итог:
Директива о сохранении данных недействительна, поскольку в ней:
- не определено понятия тяжкой преступности, делая защиту общественного интереса и оценку пропорциональности нарушения основного права невозможной;
- не установлен точный порядок, согласно которому должна была происходить передача данных разведывательному учреждению;
- не отделены субъекты данных, в отношении которых имеется обоснованное сомнение, от тех, у кого отсутствует какая-либо связь с преступностью;
- для субъектов данных не предусмотрено достаточных обеспечений и средств правовой защиты на случай злоупотребления данными;
- предусмотренный период сохранения данных не обоснован.
Директива о сохранении данных была принята в эстонское право согласно ст. 1111 Закона об электронной связи (ЗЭС), который в отличие от директивы предусматривает обязанность хранить данные на территории Эстонии или в некоторых случаях на территории Европейского Союза. Иных дополнительных условий она не содержит. Европейские страны отреагировали на решения несколькими способами – по состоянию на 1 сентября 2015 года суды высшей инстанции[4] исходя из решения признали сохранение данных противоречащим основному закону в Австрии, Словении, Словакии, Польше, Румынии, Великобритании, Болгарии, Бельгии и Голландии. В Эстонии канцлеру юстиции поступило ходатайство оценить правомерность ст. 1111 ЗЭС согласно основному закону, после чего министерства экономики, внутренних дел и юстиции приступили к анализу действующей регуляции. В качестве ответа на поступившее ходатайство канцлер юстиции признал в своем меморандуме[5], что ст. 1111 ЗЭС не находится в противоречии с основным законом и действующими международными договорами, поскольку из решения Digital Rights Ireland также не выявляется, что сбор и хранение данных по своей сущности непропорционально ущемляли бы право лиц на уважение к семейной и личной жизни, однако он аналогично Европейскому суду упомянул, что условия хранения данных должны быть четче урегулированы и у субъекта данных должен быть доступ к средствам правовой защиты[6].
Недействительность директивы о сохранении данных использована в качестве аргумента в судебном деле № 3-1-1-51-14[7], где по утверждению защитника информация, полученная в результате сохранения метаданных электронной связи, не относится к доказательствам, допускаемым в уголовном производстве. Коллегия по уголовным делам Государственного суда также подчеркивает, что сохранение данных как таковое не является непропорциональным ущемлением и недействительность директивы не несет с собой неизбежно недействительность внутригосударственной регуляции, поскольку с учетом целей директивы законодатель государства-члена ЕС при формировании внутригосударственной регуляции имеет право на обдумывание в определенных пределах. Таким образом, решение Digital Rights Ireland не принесло с собой недействительности собранных доказательств. Необходимость сохранения данных снова встало на повестку дня после расстрела редакции Charlie Hebdo, произошедшего 7 января в Париже. Однако в Эстонии последовавшая дискуссия сосредоточилась, главным образом, на мультикультурности и иммиграции.
Во многих государствах, в том числе и в Эстонии, сохранение данных является единственным институтом, который в принципе позволяет учреждениям безопасности скрытно следить за неустановленным количеством людей. Надзор за деятельностью учреждений безопасности осуществляют специальная комиссия Рийгикогу по надзору за учреждениями безопасности, а также Департамент технического надзора в объеме, установленном в Законе об электронной связи. С 1 января 2015 года компетентность канцлера юстиции в осуществлении надзора за теми госучреждениями, которые организуют прослушивание телефонных звонков и разговоров, слежение за обменом корреспонденцией, а также собирают, обрабатывают и используют личные данные иным скрытным способом, урегулирована яснее, чем ранее.
В обзоре канцлера юстиции 2014-2015 года приведено следующее: «Обязанность канцлера юстиции, как раз, заключается в том, чтобы в качестве независимого института найти точку равновесия между основными правами и свободами отдельных лиц и учреждениями, отвечающими за безопасность государства. При этом он исходит из предположения, что люди сами не осведомлены о возможном нарушении их прав в этой сфере и не могут по своей инициативе защитить себя. Следовательно, надзор канцлера юстиции в этой сфере должен быть эффективным, систематическим и активным, поставив себя в положение тех лиц, права и свободы которых ущемлены[8]». В то же время осуществляемый надзор ограничен, поскольку принятые изменения в законе не дает канцлеру юстиции доступа к государственным тайнам и засекреченной внешней информации.
Также у комиссии Рийгикогу и Инспекции по защите данных отсутствует доступ к государственной тайне. Инспекция по защите данных может ознакомиться с внутриведомственной информацией, доступ к которой ограничен в соответствии со ст. 35 Закона о публичной информации, но данная информация не касается существенной стороны работы учреждений безопасности. Также находится под вопросом, достаточно ли экспертизы и ресурсов имеется у комиссии Рийгикогу для осуществления надзора по существу. В действительности в настоящий момент в Эстонии отсутствует объективный и эффективный надзор над тем, исходят ли в своей деятельности здешние учреждения безопасности из принципов необходимости и пропорциональности.
Мандат канцлера юстиции в сфере деятельности по слежению, таким образом, с 2015 года однозначно и точно установлен законом, однако по существу у канцлера всегда была компетентность контролировать, чтобы учреждения, исполняющие общественные задачи, в том числе учреждения безопасности, и чиновники не нарушали права людей, исходящие из основного закона. На основании ходатайства[9], поданного канцлеру юстиции в 2013 году, коллегия Государственного суда по надзору за соблюдением основанного закона решением от 20 марта 2014 года в судебном деле № 3-4-1-42-13[10] признала ч. 2[11] ст. 25¹ Закона о применении уголовно-процессуального кодекса противоречащей основному закону и недействительной в той части, в которой она не предусматривает эффективной системы контроля над продолжающейся обоснованностью, согласно которой не извещается о деятельности по слежению, проведенной на основании разрешения на деятельность по слежению, срок действия которого окончился до 1 января 2013 года. Это является существенным решением, поскольку Государственный суд истолковывает в нем крайне актуальный вопрос, имеет ли лицо право быть информированным о действиях по слежению, установленных в его отношении, и если имеет, то в какой степени и на каких условиях.
Средства правовой защиты, предусмотренные для лиц в контексте деятельности по слежению, зачастую являются голословными, постольку лица, за которыми велось слежение, об этом ничего не знают. Европейский суд по правам человека в решениях Klass[12], Ekimdzhiev[13], Weber и Saravia[14] принимал позицию, что для обеспечения доступа каждого человека к эффективной правовой защите, является важным, чтобы субъект данных информировался о прошедшей деятельности по слежению сразу, как только это не угрожает целям деятельности по слежению. До сих пор судебная практика позволяла различное толкование, поскольку в аналогичных решениях одновременно также признавалось, что вследствие секретного характера деятельности по слежению нельзя устанавливать основное право приватности и право на эффективное средство правовой защиты в том же размере, что и в других сферах жизни. Из отчета статистки деятельности по слежению за прошлый год следует, что в 2014 году учреждения по слежению проинформировали об операциях по слежению 3282 человека. В 2014 прокуратура году выдала на отсрочку информирования о деятельности по слежению 1500 разрешений. Прокуратура ходатайствовала у суда разрешение на отсрочку информирования в общей сложности в отношении 202 лиц 58 раз. Суд выдал разрешение на 56 ходатайств. Одно ходатайство осталось судом неудовлетворенным, одно было удовлетворено частично. По разрешению суда был продлен срок информирования в отношении 201 лица[15].
10 апреля 2014 года Европейский суд по права человека направил Эстонии для предоставления аргументов судебное дело Люйтсепп к Эстонии[16], предметом которого является также информирование о деятельности по слежению. В качестве заинтересованных третьих сторон выразили свою общую позицию[17] Privacy International и Article 19. В своем обращении они подчеркнули, что суд должен предпринять дальнейшие шаги и признать, что обязанность информирования на сегодняшний день является необходимым условием пропорциональности деятельности по слежению, независимо от иных предусмотренных гарантий. При этом подчеркивается, что данная обязанность не может быть абсолютной, и в каждом отдельном случае следует оценивать риски, сопутствующие информированию.
По различным данным Facebook активно используют более полумиллиона эстонцев, что означает, что их данные сохраняются на основании соглашения Safe Harbour на территории Соединенных Штатов Америки. Соглашение Safe Harbour предусматривало, что связанные им предприятия США обеспечат защиту данных на равном уровне с правом ЕС, в то же время оно не являлось связующим для государственных, в том числе разведывательных учреждений США. Таким образом, независимо от соглашения предприниматели при предоставлении таких данных, как Facebook, например, организации NSA исходили все же из внутригосударственного права. Данные европейских граждан передавала в центры данных Facebook ее дочерняя компания, находящаяся в Ирландии. В то же время у ирландского инспектора по защите данных отсутствовал контроль над этим процессом, поскольку это было одобрено Комиссией в рамках соглашения Safe Harbour. 6 октября 2015 года Европейский суд объявил решением в деле Schrems против Data Protection Commissioner[18] соглашение Safe Harbour неправомерным, поскольку в действительности оно не предлагало гражданам Европейского Союза защиту от вторжения в частную жизнь, например, от программ массового слежения NSA. Аналогично решению Digital Rights Ireland данное решение действует также задним числом, что открывает возможности для интересной судебной практики как в Европе, так и США.
Важнейшие общественные дискуссии
Второе важное решение Европейского суда за 2014 год в деле Google Spain[19] вызвало относительно живую дискуссию также и в Эстонии. Европейский суд упомянул, что у поисковой программы имеется обязанность удаления данных. В случае запросов, сделанных с помощью поисковой программы в отношении лица, право на защиту личных данных и на неприкосновенность личной жизни превышают в общем случае как экономический интерес администратора поисковой программы, так и интерес общественности получать информацию. Право быть забытым является привлекательной и противоречивой концепцией как с правовой, социологической, так и культурной точки зрения. Таким образом, обсуждение вокруг него было скорее теоретическим и гипотетическим, и судебной практики и изменений в законах в Эстонии не последовало. Однако исходя из решения граждане Эстонии также вправе требовать от международных сетевых операторов удаления информации, касающейся своей личности. Право быть забытым содержится также в пакете реформы по защите данных в Европе. В 2012 и 2013 годах данный пакет сравнительно критически проанализировали как руководители инспекции по защите данных[20], так и руководители MTÜ Eesti Interneti Kogukond[21]. Собственно, в нем предусмотрено средство для переписывания истории. При этом, например, Европейское агентство по сетевой и информационной безопасности (ENISA) упомянуло, что «право быть забытым» практически невозможно реализовать. В то же время право быть забытым до сих пор дает относительно безоружному обычному гражданину хоть какой-то контроль над своей идентичностью в киберпространстве.
В средствах массовой информации большого внимания удостоился случай FinFisher. В августе 2014 года неизвестный хакер взломал серверы Gamma International, производителя шпионской программы FinFisher, и выложил полученную информацию в интернет[22]. В частности, оказалось, что Эстония купила четыре лицензии FinFisher. Шпионская программа FinFisher является троянской и позволяет в реальном времени следить за деятельностью зараженного компьютера[23].
Среди борцов за права человека компания Gamma International имеет плохую репутацию – правозащитная организация Privacy International в 2013 году подала жалобу на деятельность Gamma Int. в Организацию экономического сотрудничества и развития (OECD). В феврале 2015 года OECD признала, что поскольку во внутреннем регламенте Gamma International отсутствуют гарантии в отношении нарушения прав человека, то производитель шпионской программы поступил недобросовестно и нарушил принципы ведения коммерческой деятельности и прав человека ООН, а также установки ответственной предпринимательской деятельности OECD. Утечку FinFisher[24] лаконично прокомментировал председатель специальной комиссии Рийгикогу по надзору за учреждениями безопасности Пеэп Ару, пояснив только, что у комиссии отсутствуют данные о незаконной деятельности по слежению и что деятельность по слежению в Эстонии защищает государственная тайна. В том же месяце газета Eesti Päevaleht написала, что по данным бывшего работника Центра инфотехнологии и развития Министерства внутренних дел (SMIT) правление SMIT использует для слежения за своими работниками также шпионскую программу FinSpy. После этого министр внутренних дел Ханно Певкур инициировал внеочередной аудит, в результате которого злоупотребления шпионской программой доказать не удалось.
Заключение
2014 год принес с собой существенные судебные решения как на уровне Европы, так и Эстонии, в которых были поставлены вопросы, может ли и насколько может участвовать в формировании своей идентичности в киберпространстве лицо, чьи метаданные (и при каких условиях) можно собирать, какая ведется пропорциональная деятельность по слежению в информационном обществе. В то же время доминирует ситуация, когда в действительности ни у одного учреждения – ни у Инспекции по защите данных, ни у специальной комиссии Рийгикогу по надзору за учреждениями безопасности, ни у канцлера юстиции – нет достаточных полномочий для контроля над деятельностью учреждений безопасности. В такой ситуации, где эффективный надзор по существу отсутствует, особенно важно, чтобы лица информировались о деятельности по установленному за ними слежению по окончании слежения. Государственный суд также выразил точку зрения, что обязанность информирования является существенной гарантией права приватности, независимо от года, когда велась деятельность по слежению.
Рекомендации:
- Расширить полномочия канцлера юстиции и/или инспекции по защите данных при осуществлении надзора за учреждениями безопасности или учредить специальный орган по надзору, состоящий из независимых экспертов
- Пересмотреть критически порядок сохранения метаданных электронной связи
- Специальной комиссии Рийгикогу по надзору за учреждениями безопасности инициировать изучение в отношении покупки и использования лицензий шпионского программного обеспечения
[1] Postimees, Andmekaitsesse pöördumine on paari aastaga viiekordistunud, 16. juuni 2014.
[2]Eurobarometer, Special Survey on Safer Internet. Arvutivõrgus kättesaadav: http://open-data.europa.eu/et/data/dataset/S490_64_4_EBS250
[3] Euroopa Kohus, otsus ühendatud kohtuasjades C-293/12 and C-594/12, Digital Rights Ireland and Seitlinger ja teised, 8.aprill 2014.
[4] Euroopa Liidu Põhiõiguste Amet (FRA). Aastaaruanne 2014. Ptk 5.2. Luksemburg. 2015.
[5]Seisukoht vastuolu puudumise kohta. Õiguskantsler. Arvutivõrgus kättesaadav: http://oiguskantsler.ee/sites/default/files/field_document2/6iguskantsleri_seisukoht_vastuolu_mittetuvastamise_kohta_elektroonilise_side_andmete_kogumine_sideettevotete_poolt.pdf.
[6] Vt ka Õiguskantsler, Aastaülevaade 2014-2015, Sideandmete kogumine vs eraelu kaitse. Arvutivõrgus kättesaadav: http://oiguskantsler.ee/ylevaade2015/andmekorje
[7] Riigikohtu kriminaalkolleegiumi otsus asjas nr 3-1-1-51-14. 23. veebruar 2015. Arvutivõrgus kättesaadav: http://www.nc.ee/?id=11&tekst=222577237.
[8] Õiguskantsler, Aastaülevaade 2014-2015, Põhiõigused- ja vabadused isikuandmete varjatud töötlemisel. Arvutivõrgus kättesaadav: http://oiguskantsler.ee/ylevaade2015/julgeolekuasutused
[9] Vt Õigus austusele perekonna- ja eraelu vastu. Inimõigused Eestis 2013.
[10] Kohtuasi nr 3-4-1-42-13. Arvutivõrgus kättesaadav: http://www.riigikohus.ee/?id=11&tekst=222571298.
[11] Kriminaalmenetluse seaduse rakendamise seadus. RT I. 26.03.2014, 11. Arvutivõrgus kättesaadav: https://www.riigiteataja.ee/akt/126032014011.
[12] EIK, Klass ja teised vs. Saksamaa, 6. september 1978, kaebus nr 5029/71.
[13] EIK, Inimõiguste Assotsiatsioon ja Ekimdzhiev vs Bulgaaria, 28. juuni 2007, kaebus nr 62540/00,
[14] EIK, Weber ja Saravia vs Saksamaa, 29. juuni 2006, kaebus nr 54934/00.
[15]Jälitustegevuse statistika 2014. Justiitsministeerium. Arvutivõrgus kättesaadav: http://www.kriminaalpoliitika.ee/sites/www.kriminaalpoliitika.ee/files/elfinder/dokumendid/jalitusstatistika_aruanne_2014_2.pdf.
[16] EIK, edastatud kohtuasi Lüütsepp vs. Eesti.Arvutivõrgus kättesaadav: http://hudoc.echr.coe.int/eng?i=001-142949.
[17] Privacy International. Article 19. Submission. ECHR: Luutsepp v Estonia [Esitis. EIK: Lüütsepp vs. Eesti]. Arvutivõrgus kättesaadav: https://www.article19.org/resources.php/resource/37720/en/echr:-luutsepp-v-estonia.
[18] Euroopa Kohus, otsus kohtuasjas C-362/14, Maxmillian Schrems vs Data Protection Commissioner, 6. okttober 2015,
[19] Euroopa Kohus. Otsus kohtuasjas C-131/12: Google Spain SL, Google Inc. versus Agencia de Protección de Datos (AEPD) Mario Costeja González. 13. mai 2014.
[20] Häbistatud saavad võimaluse netist kaduda. Eesti Ekspressi artikkel Andmekaitse Inspektsioon veebilehel. 14. märts 2013.Arvutivõrgus kättesaadav: http://www.aki.ee/et/uudised/meediakajastus/habistatud-saavad-voimaluse-netist-kaduda.
[21] Loho, E. Tsensuur andmekaitse maski taga. Õhtuleht. 11. juuni 2012.
[22]Wikileaks. SpyFiles4. FinSpy Customers. 15. august 2014. Arvutivõrgus kättesaadav: https://wikileaks.org/spyfiles4/customers.html.
[23] Mida suudab FinFisher? Eesti Päevaleht. nr. 156. 14 august 2014; Inimõiguste kohtu hinnangul on FinFisheri kasutamine õigustatud üksnes äärmisel vajadusel. Eesti Päevaleht. Arvutivõrgus kättesaadav: http://epl.delfi.ee/news/eesti/inimoiguste-kohtu-hinnangul-on-finfisheri-kasutamine-oigustatud-uksnes-aarmisel-vajadusel?id=69536239,
[24] SMIT-i audit ei tuvastanud nuhkvara kasutamist. ERR Uudised. 29. august 2014. Arvutivõrgus kättesaadav: http://uudised.err.ee/v/eesti/f67bef94-0e84-4d12-a99e-baff776c4b2f.