Защита на лични данни

Окончателно: СЕС праща задържането на трафични данни на бунището на историята

Image by Open Grid Scheduler on Flickr

С публикуваното си днес решение по съединените производства C-203/15 and C-698/15, Съдът на Европейския съюз (СЕС) защити правата ни на граждани и тегли дебела черта върху властническите сметки за безразборно задържане и обработване на личните ни данни.

За какво става дума?

През 2014 СЕС изхвърли зад борда станалата печално известна като “data retention directive” директива 2006/24, като обяви, че генералното и неизбирателно задържане на трафични данни за срок от 6 до 24 месеца, без то да се налага за целите на конкретни наказателни производства противоречи на правото на Европейския съюз. С което отворен остана въпросът дали отделните държави членки могат да предвидят съответните “огледални” разпоредби в собствените си национални законодателства и по този начин да заобиколят така постановеното решение.

Такъв например е случаят в Обединеното кралство и Швеция, където законодателството за електронните съобщения задължава доставчиците на телекомуникаицонни услуги да задържат трафичните данни на своите потребители и да предвиждат метод и начин как същите данни да бъдат достъпвани и “изсмуквани” от правоохранителните органи.

Тъкмо от там са и преюдициалните запитвания, послужили за настоящото решение на СЕС.

Казусът, с който СЕС е трябвало да се занимае, е дали основанието за такова задържане и предоставяне на данни на органите може да бъде открито в друга европейска директива – т. нар. “ePrivacy directive” 2002/58.

Какво решава съдът?

В решението си от днес СЕС постановява, че правото на Евросъюза не допуска национална правна уредба, която предвижда генерално и неизбирателно задържане на (трафични) данни.

Конкретно, Съдът приема, че макар посочената директива да позволява на държавите членки в единични случаи да ограничават правата на гражданите си с оглед поверителността на съобщенията и на свързаните с тях трафични данни, тя не може да обоснове превръщането на едно правомощие, замислено като изключение, в правило.

Съдът предупреждава, че съгласно установената практика защитата на основното право на лична неприкосновеност изисква изключенията от него да се въвеждат само в границите на строго необходимото. И това е така, защото от обработването на задържаните лични данни могат да се изведат много точни заключения за личния живот и въобще профилирането на лицата, чиито данни са били задържани.

Следователно, заключава СЕС, намесата, произтичаща от националната правна уредба, която предвижда задържане на трафични данни и на данни за местонахождение, трябва да се счита за особено тежка. Фактът, че задържането на данните се осъществява, без потребителите да са информирани за това, може да породи усещане за постоянно наблюдение и следене. Поради това само борбата с тежките престъпления може да обоснове такава намеса. С много важното уточнение, че всяка национална правна уредба в този смисъл трябва да е ясна и точна, а задържането на данни да бъде

– ограничено само до строго необходимото,

– целево (насочено не срещу всички, а само срещу лица, които са заподозрени, че подготвят, извършват или са извършили тежко престъпление или че по някакъв начин са участвали в такова престъпление),

–  само за определен период от време.

В допълнение СЕС указва, че (с изключение на неотложните случаи) задържането на данни трябва да минава през предварителен контрол, осъществяван от независими административни структури, а данните следва да се съхраняват само на територията на Съюза (т. е. да не се изнасят в трети юрисдикции, примерно в САЩ) и безвъзвратно да се унищожават в края на периода за задържането им.

Какво означава решението за България?

На първо място за ремонт плаче чл. 251б от Закона за електронните съобщения (ЗЕС), който бе преработен след решение № 2 от 2015 г. на Конституционния съд, и който сега се явява в конфликт с правото на Европейския съюз. Това е така, защото цитираната разпоредба задължава телеком и интернет доставчиците да задържат всякакви комуникационни и трафични данни на своите потребители за срок от 6 месеца. Тя не е ограничена само до “строго необходимото” и не е целева, тъй като е насочена не само към конкретни заподозрени или обвиняеми, а срещу всички потребители на телекомуникационна и/или интернет услуга.

В този смисъл една от първите задачи на парламента ще бъде да приведе ЗЕС в съотвествие със задължителната практика на Съда на Европейския съюз.

Но това като че ли не е най-големият проблем в това отношение.

Защото пишейки горното се сетих, че само преди дни депутатите ни приеха Закон за борба с тероризма, който позволява на ДАНС да достъпва задържаните за срок до 24 месеца комуникационни и трафични данни на всички граждани. И да прави с тях каквото прецени. Съвсем произволно, безотчетно и безконтролно.

След второ четене на ход е президентът и обсъжданото тук решение направо го задължава да упражни конституционното си правомощие на вето и върне закона на парламента за отстраняване на тежките му дефекти.

Отговорните за нашите данни трябва да ни известяват при всяко нарушение на тяхната сигурност

Image: JUUST SAY YES TO PRIVACY by Michael on Flickr
JUUST SAY YES TO PRIVACY

Малко необичайно е за европейски регламент да влезе в сила в неделя, но тъкмо такъв е случаят с най-новия инструмент за защита на личните данни – Регламент 611/2013

относно мерките, приложими за съобщаването на нарушения на сигурността на личните данни съгласно Директива 2002/58/ЕО на Европейския парламент и на Съвета за правото на неприкосновеност на личния живот и електронни комуникации

който влезе в сила вчера (25.08.2013).

За какво става дума?

Обхватът на регламента е уреден в неговия член 1 и гласи

Настоящият регламент се прилага за съобщаването на нарушения на сигурността на лични данни от страна на доставчици на публичнодостъпни електронни съобщителни услуги (“доставчикът”).

Какви са задълженията на доставчика?

Доставчикът на първо място е длъжен да уведоми националния компетентен орган не по-късно от 24 часа след откриване на нарушението на сигурността на лични данни, когато това е възможно. За целта доставчикът трябва да използва единния европейски формуляр, съставляващ Приложение I към регламента.

В допълнение, доставчикът е длъжен да уведоми и своите абонати, освен ако уведомяването им може да изложи на риск правилното разследване на нарушението. За тази цел доставчикът е длъжен да използва единния европейски формуляр, съставляващ Приложение II към регламента.

Доставчикът също така е освободен от задължението си да уведомява потребители, когато

е доказал в удовлетворителна степен пред националния компетентен орган, че е взел подходящи технически мерки за защита и че тези мерки са приложени за данните, засегнати от нарушаването на сигурността.

Такива технически мерки за защита трябва да правят данните неразбираеми за всяко лице, което не е упълномощено за достъп до тях.

С други думи, доставчикът е освободен от това си задължение, когато е криптирал съхраняваните от него лични данни с достатъчно добър алгоритъм.

Кой всъщност е „доставчикът“?

Всеки телеком и/или интернет доставчик.

Кой е „националният компетентен орган“?

В България това е Комисията за защита на личните данни (КЗЛД).

Кога е налице „нарушение на сигурността на личните данни“?

Когато доставчикът е получил достатъчно информация, че е имало произшествие, свързано със сигурността, довело до компрометиране на лични данни.

Какъв е смисълът от регламент 611/2013?

Този въпрос вероятно си задават мнозина, които помнят доста сходните разпоредби в директива 2009/136, които у нас бяха транспонирани в чл. 261в от Закона за електронните съобщения (ЗЕС).

Основната причина според Европейската Комисия се корени в прекалено разнопосочното транспониране на цитираната директива 2009/136, което предвиждало различни срокове за уведомяване или поставило под въпрос нейната приложимост спрямо интернет провайдърите в някои страни-членки на ЕС.

С приемането на регламента се изяснява кой е длъжен да уведомява, постановява се единен 24-часов срок за реакция, както и се определят уеднаквените за цялата територия на ЕС формуляри, с които доставчиците да изпълняват уведомитените си задължения.

Сума сумарум

регламент 611/2013 е крачка напред не само в политиката на защита на лични данни, но и по отношение на по-засилената пазарна евроинтеграция в сферата на телеком и интернет услугите.

Ден за защита на личните ни данни

Image: Eye I by Thomas Tolkien on Flickr

Eye I

По инициатива на Съвета на Европа, от 2007 насам на 28 януари се отбелязва Деня на защитата и неприкосновеността на личните (ни) данни, чиято главна цел е да подсеща нас, гражданите, да не забравяме колко много от

личната ни информация се събира и обработва

от различните по вид администратори на лични данни, защо това се прави и с какви права разполагаме в това отношение.

Днес редакторите на Нашият ден (сутрешния блок на програма Христо Ботев) по БНР бяха решили да отделят около 40 минути за темата и бяха поканили като събеседници моя милост заедно с председателя на КЗЛД Венета Шопова.

Застъпвах тезата, че задължението за внимателно отношение към личната информация е споделено между администраторите на лични данни и физическите лица, и че добър пример за това може да бъде абсолютно легитимният отказ на последните да позволяват копирането на личните им документи.

Когато пък на изпроводяк водещият поиска да дам

конкретна препоръка

на гражданите как да се възползват от правата си, обобщих че те

  • трябва внимателно да четат договорните условия, по силата на които предоставят достъп до личните си данни;
  • е добре да изискват информация от администраторите относно каква тяхна лична информация е предмет на обработване, както и да изискват корекцията на неточно обработената такава, и че
  • разполагат включително с правото да искат заличаването на всякакви данни, когато те са събрани в надвишаващ необходимия за целта на обработването им обем.

Мрежова неутралност и лична неприкосновеност

Image: Network Monitoring System – alarms view by By Verax Systems Corp.,
via Wikimedia Commons

Network Monitoring System - alarms view

Темата “мрежова неутралност” е една от онези, които ме интересуват по-обстойно. Макар и не задължително в български контекст, на няколко пъти (тук, тук  и тук) съм и отделял внимание в другия си блог.

Повод за днешната статия ми даде становището на Европейския надзорен орган по защита на данните (ЕНОЗД) от 07.10.2011, разглеждащо

мрежовата неутралност

през призмата на защитата на личните данни и личната неприкосновеност.

Но нека като за начало и на кратко изясниме какво всъщност означава това многоцитирано напоследък понятие.

За целта си позволявам да цитирам от гореспоменатото становище:

Концепцията за неутралността на мрежата се основава на възгледа, че информацията в интернет трябва да бъде предадена безпристрастно, без оглед на съдържание, дестинация или източник, както и че интернет потребителите трябва да бъдат в състояние самостоятелно да решат какви приложения, услуги или хардуер да използват. Това означава, че доставчиците на интернет услуги не могат, по свой избор, да дават предимство на определени приложения или услуги, или да забавят достъпа до други като например VoIP или P2P.

Защо това трябва да ни интересува?

Спецификата на интернет доведе до неговото припознаването като най-свободната и демократична медия.
Дебатът около мрежовата неутралност и най-вече желанието на интернет доставчиците да прилагат т. нар. управление на интернет трафик (traffic management) чрез техниките на филтриране, блокиране и мониторинг на съдържание постави тези качества на глобалната мрежа под въпрос, и извади като главeн аргумент в нейна защита (възможното) нарушение на свободата на словото и свободата на достъпа до информация.

Конкретните опасения се изразяваха в това, че използваните техники

могат да доведат до цензура

наложена от интернет доставчиците, а всъщност продиктувана от заинтересувани трети страни – в българския конкекст на пример от политически сили или организираната престъпност.

Становището на ЕНОЗД обаче разкрива и един допълнителен аргумент – възможното нарушение на защитата на лични данни и лична неприкосновеност на потребителите на интернет.

Това е така, защото някои от въпросните техники за управление на интернет трафика включват преглеждането претърсването на електронните съобщения на потребителите, посещаваните уебсайтове, изпратени и получени имейли, времето когато това се извършва и т.н.

Ясно е, че така упражнен, контролът върху преноса на данни е в състояние

да наруши основни права

гарантирани от член 8 от Европейската конвенция за защита правата на човека и основните свободи (ЕКПЧ) и членове 7 и 8 от Хартата на основните права на Европейския съюз. Същото важи и за правата, допълнително защитени от вторичното законодателство на ЕС, а именно член 5 от Директивата за защита на личния живот и електронните съобщения (2009/136/ЕО).

Разпознавайки реалната заплаха, ЕНОЗД призовава националните регулатори на електронни съобщения от една страна и държавните органи с мандат за защита на лични данни, от друга, да следят и гарантират спазването на правата на потребителите на интернет.

Самият аз прегледах днес сайтответе на КРС и на КЗЛД, но не можах да открия нищо по въпроса. Мрежовата неутралност за тях изглежда е нещо като terra incognita.

На моменти истински, ама истински се радвам, че сме в Европейския Съюз!

Задържане на полицейски данни

Image: smart police / keeping the parliament clean by flik on Flickr
smart police / keeping the parliament clean

В началото на седмицата австрийските медии гръмнаха: хактивистите от Anonymous Austria публикували чрез Туитър акаунта си личните данни, в това число дати на раждане, адреси и телефони на 24 938 австрийски полицаи.

Деянието си хактивистите мотивират с все по-ниската степен на защита на личните данни на гражданите в следствие на гласуваните законови промени и приемането на

задържането на трафични данни

в австрийското законодателство.

Като за капак, хакцията следва отколешното мото на застъпниците на data retention, а именно

Никой не бива да се страхува, щом няма какво да крие

При все, че съм за безрезервната защита на личните данни и в този случай съм на страната на полицаите в качеството им на потърпевши физически лица, си мисля че хакцията на Anonymous Austria дава добър урок и повод за размисъл.

Изводът

може да бъде само един – колкото по-малко данни се обработват и задържат, толкова по-ниска е вероятността от злоупотреби с тях.