Issuu on Google+

Брюсель, 13 серпня 2013 Вівіан Редінг Віце-президенту Комісару з питань юстиції, основоположних прав та громадянства Європейської Комісії В – 1049 БРЮССЕЛЬ Бельгія

Шановна віце-президент Редінг, Нещодавні протиріччя з приводу Програми спостереження PRISM та пов’язанна з цим нова інформація щодо збору та доступу Американським розвідувальним відомством до даних осіб, які не є громадянами США1, викликають велику стурбованість серед міжнародного співтовариства, яке опікується питаннями захисту персональних даних, у тому числі серед членів Робочої групи, утвореної відповідно до статті 29 Директиви 95/46/ЄС2. Особливе занепокоєння викликають останні сенсаційні відкриття відносно комп’ютерної програми, яка має назву XKeyscore, яка нібито дозволяє здійснювати збір і аналіз змісту спілкування в мережі Інтернет по всьому світу. Не зважаючи на те, що владою Сполучених Штатів Америки надано деякі роз'яснення3, досі залишається багато питань відносно наслідків зберігання цих даних програмами розвідувального відомства. Необхідно наголосити, що РГ 29 розуміє, що з міркувань національної безпеки, різні країни можуть приймати різні рішення щодо того, яка інформація може бути використана під час пошуку потенційних лідерів злочинних угруповань і проведення превентивних заходів, розслідування та протидії атакам проти країни, або навіть з метою політичного та економічного нагляду. У той же час, навіть у випадку захисту національної безпеки, належну увагу слід приділяти захисту основних прав фізичних осіб незалежно від їх національності. Утворена спільна робоча група ЄС - США, в якій також є представники РГ 4 29 , можливо «проллє світло» на питання, які розглядаються, зокрема, щодо встановлення фактів, пов’язних з програмами розвідки. Тим не менш, РГ 29 1

http://www.theguardian.com/world/the-nsa-files Робоча група утворена відповідно до статті 29 Директиви 95/46/ЄС. Вона є незалежним європейським наглядовим органом з питань захисту персональних даних та приватності. Ці завдання відображені в статті 30 Директиви 95/46/ЄС та статті 15 Директиви 2002/58/ЄС. 3 Privacy, Technology and National Security: An Overview of Intelligence Collection by Robert S. Litt, ODNI General Counsel – Brookings Institution Washington D.C. - 19 July 2013 4 http://www.eu2013.lt/en/news/statements/presidency-statement-on-outcome-of-discussions-on-euus-working-group 2


вважає своїм обов'язком також самостійно оцінювати рівень захисту, який забезпечується відповідно до законодавства ЄС про захист персональних даних, які знаходяться під загрозою і, можливо, порушуються, а також визначити, які наслідки від застосування Програми спостереження PRISM та інших споріднених програм можуть бути для наших громадян в контексті захисту їх персональних даних. Ми маємо визначити, у додаток до мого попереднього листа від 7 червня 2013 року та Вашого листа до Генерального прокурора США Еріка Холдера від 10 червня 2013 року, наступні питання, що представляють інтерес в контексті порушеної проблематики та на які необхідно надати відповідь якнайшвидше. Перш за все, необхідно встановити, яка саме інформація збирається за допомогою програм розвідки, відповідно до вимог статті 215 Закону США «Про об'єднання і зміцнення держави за допомогою прийняття особливих заходів щодо боротьби з тероризмом», статті 702 Поправок до Закону США «Про нагляд за іноземними розвідками», Постанови Уряду США №12333 від 04.12.1981 та інших нормативних актів, що стосуються даного питання. Інформація у ЗМІ показує, що як метадані5 так і зміст комунікацій осіб – не громадян США збираються, але поки повністю не ясно, які саме категорії даних збираються, в якій мірі і який рівень захисту здійснюється стороною, яка забезпечує доступ до них. На сьогоднішній день, також не зрозуміло, якщо метадані про осіб – не громадян США збираються в якості факультативних при проведенні розслідувань відносно громадян США відповідно до розділу 215 зазначеного Закону США, то чи можуть бути такі дані згодом використані під час розслідування відносно осіб – не громадян США відповідно до статті 702 Поправок до Закону США «Про нагляд за іноземними розвідками», і якщо так, то на яких правових підставах. Згідно неофіційної інформації збір персональних даних відбувається як у широкомасштабному форматі, так і на структурній та/або систематичній основі, що забезпечує постійний доступ до них АНБ, ФБР, ЦРУ та/або іншим розвідувальним і правоохоронним органам. Один із встановлених фактів полягає в тому, що дані можуть бути доступні тільки у разі, якщо вони отримані від осіб – не громадян США і збираються з джерел на території США. Однак, РГ 29, хотіла б зрозуміти, яким чином влада США дізнається, що персональні дані знаходяться на території США, враховуючи постійне кількісне зростання використання мережі Інтернет для зберігання персональних даних, де на даний час багато інформації зберігається за допомогою «хмарних» технологій, не знаючи при цьому точного розташування модемів, і як наслідок глобальних масштабів магістральних мереж і властивих їм можливостей передавати широкий спектр послуг зв'язку. Необхідно визначити, чи підлягають також збору вищезазначеними програмами розвідки дані, потік яких здійснюється через територію США через мережі зв'язку (дані, які передаються). На додаток до вищенаведеного, згідно статті 4(1)с Директиви 95/46/ЄС, РГ 29 на сьогодні вважає, що європейське 5

РГ 29 розуміє, що американське поняття метаданих відповідає категорії даних, що залишилися в країнах Європейського Союзу відповідно до статті 5 Директиви 2002/58/EC, крім збору інформації про місцезнаходження даних


законодавство не поширюється на персональні дані, які лише передаються на територію Європейського Союзу. Застосовуючи ті ж міркування, приходимо до висновку, що законодавство США не повинно застосовуватися до тих даних, які лише передаються по її території. Таким чином, повинно бути чітко зрозуміло: чи повинні спецслужби або інші відповідні органи доводити фізичну і юридично доступність таких даних на території США (тобто про факт їх збереження на серверах на території США), чи буде достатньо, щоб дані оброблялись американськими компаніями або дочірніми компаніями. Нарешті, як пропонується в ЗМІ6, з цього приводу необхідно внести ясність: чи були персональні дані зібрані також і на території Європи. Далі, необхідно уточнити, яким чином Судом США у справах про нагляд за іноземними розвідками застосовується вищезгадане законодавство США, як відносно процедури так і щодо моменту накладення арешту, а також умов і критеріїв, які суд застосовує у своїх рішеннях під час надання дозволу на нагляд за особами – не громадянами США. РГ 29 повинна мати змогу оцінити, чи в достатній мірі ці приписи аргументовані і чи в достатній мірі забезпечують обмеження основних прав фізичних осіб з міркувань національної безпеки. Крім того, необхідно визначити, чи здійснюється обробка персональних даних відносно мети обмеження згідно принципів захисту персональних даних, і чи дійсно заявлені США цілі обробки відповідають концепції національної безпеки, так само як це визначено в законодавстві ЄС. Це може бути виконано лише шляхом детального дослідження кожного відомого програмам розвідки факту окремо. Влада США повинна заохочувати оприлюднення декількох запитів АНБ та постанов Суду США у справах про нагляд за іноземними розвідками відносно вищезазначених фактів. Інформація у ЗМІ свідчить про те, що Суд США у справах про нагляд за іноземними розвідками розробив те, що вважається, секретною нормативноправовою базою у сфері нагляду і встановив власні правила для збору, використання і доступу до даних за допомогою різних програм розвідки. Не дивлячись на те, що в цілому прийнятно, коли прийнято критерії обмеження обробки персональних даних, це також може створити певні проблеми, якщо ці критерії не є загальнодоступними. До того ж інформація, яка була оприлюднена, на сьогоднішній день показує, що Суд США у справах про нагляд за іноземними розвідками не приймає рішення в окремих випадках, в яких інтереси національної безпеки переважають над основними правами фізичних осіб, а лише ухвалює процедури для збору (і можливого використання) персональних даних осіб – не громадян США. Крім того, інші визначені гарантії не розглядаються на рівні окремих випадків, за винятком забезпечення дотримання мінімальних процедур. Третім важливим питанням є зв'язок між програмами розвідки згідно статті 215 Закону США «Про об'єднання і зміцнення держави за допомогою прийняття особливих заходів щодо боротьби з тероризмом», статті 702 Поправок до Закону США «Про нагляд за іноземними розвідками», Постанови Уряду №12333 від 04.12.1981 - з одного боку, і дотриманням організаціями умов передачі персональних даних в треті країни (включаючи стандартні умови 6

http://www.reuters.com/article/2013/07/07/usa-security-germany-idUSL6N0FD0FV20130707


договору, обов'язкові корпоративні правила і принципи угоди Safe Harbour) - з іншого боку. Умови угоди Safe Harbour дійсно дозволяють обмежувати дотримання принципів обробки персональних даних «в обсязі, необхідному для задоволення вимог національної безпеки (...)». Тим не менш, РГ 29 має сумніви відносно того, чи можна вважати суворим винятковим обмеженням в необхідному обсязі м��сштабні і структурні спостереження за персональними даними, які останнім часом спостерігаються. Водночас, РГ 29 нагадує, що статтею 3.1 (б) Рішення Європейської Комісії з дотримання принципів Safe Harbour (Рішення ЄК 2000/52/EC від 26 липня 2000 року) дає компетентним органам держав-членів право призупинення передачі даних у випадках, коли існує значна ймовірність того, що ці принципи порушуються,або коли передача даних створює безпосередню загрозу нанесення значної шкоди суб'єктам персональних даних. Також необхідно уточнити, чи відповідає застосування даних американських програм розвідки нормам європейського і міжнародного права. Це в першу чергу стосується Міжнародного пакту про громадянські і політичні права, який встановлює право на приватне життя в загальних рисах. Більше того, необхідно надати подальшу оцінку необхідності і співмірності використання даних розвідувальних програм нормам Конвенції Ради Європи № 108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних. На думку РГ 29 є ймовірність того, що нинішня практика очевидного великомасштабного збору та доступу до персональних даних осіб – не громадян США не узгоджується з нормами Конвенції Ради Європи про кіберзлочинність. Це особливо актуально у світлі триваючого наразі обговорення Додаткового протоколу до Конвенції Ради Європи про кіберзлочинність (T-CY), який покликаний врегулювати питання 7 транскордонних потоків даних у цій області . Даний проект протоколу, надасть змогу узаконити існуючу практику розвідувального відомства США, забезпечивши стороні, що здійснює пошук, доступ до даних, які зберігаються на комп'ютерах за кордоном у відповідності до закону (або укладеної угоди)8. Таким чином, громадяни держав-членів ЄС, не зможуть скористатися захистом, визначеним їх внутрішнім законодавством про конфіденційність та захист персональних даних. Ще одне питання, яке необхідно вирішити, це можливість захисту своїх прав особами – не громадянами США. В даний час, постраждалим особам не надається жодної можливості відстоювати свої основоположні права у суді або перед незалежним органом нагляду. Слід визнати, що в цілому люди не здогадуються, що вони можуть представляти інтерес для спецслужб. Однак, якщо виникла підозра (наприклад, що людина помилково заарештована чи обмежена у свободі пересування), людина повинна мати змогу ефективно оскаржити інформацію, надану спецслужбами, так як це практикується в багатьох європейських країнах. 7

Проект норм Додаткового протоколу до Будапештської Конвенції про кіберзлочинність щодо транскордонного доступу до даних, T-CY (2013) –в редакції від 9 квітня 2013 року 8 РГ 29 розуміє, що кіберзлочинність дуже часто розглядається відомствами США як питання національної безпеки


І на останок, РГ 29 вважає за необхідне зазначити, що увагу буде зосереджено не лише на програмах розвідки, що використовуються в США, а й будуть докладатись зусилля, щоб оцінити будь-які впливи Програми спостереження PRISM, в тому числі використання даної інформації на європейській території, у відповідності до повноважень РГ 29. Крім того, у своєму безперервному прагненні відстоювати основні права всіх людей, РГ 29 має намір вивчити вплив інших програм розвідки на території держав-членів ЄС, зокрема як Tempora, зокрема чи відповідають вони принципам захисту даних та законодавству ЄС. Маю надію, що Європейська Комісія в повній мірі сприятиме в пошуку відповідей на поставлені вище питання, як всередині, так і поза рамками спільної робочої групи ЄС - США. З повагою, Голова Джейкоб Констам, від імені Робочої групи, утвореної відповідно до статті 29 Директиви 95/46/ЄС


Переклад листа Редінг