Д-р Христо Христев[1]
Въведение
Разрастването на международния тероризъм в началото на XXI век постави в коренно нова ситуация държавите от Западното полукълбо, формиращи т.нар. свободен свят. Терористичните нападения в САЩ на 11 септември 2001 година, в Мадрид през 2004 и Лондон 2005 година показаха съществуването на нова мащабна вълна в терористичния феномен, обоснована от краен религиозен фанатизъм и насочена към това да засегне из основи западния модел на демократично общество.
След една първа фаза на противодействие и постигнати значителни резултати срещу терористичната мрежа Ал Кайда, през 2015-2017 година сме свидетели на развитието на нова вълна на тероризъм, свързана с разрастването на организация „Ислямска държава“ и терористичните атаки, извършени от контролирани от нея субекти във Франция, Белгия, Германия, Швеция, Великобритания.
Изправени пред тази нова реалност, държавите попадащи във фокуса на терористичната вълна, водени от Съединените американски щати, формираха нови линии на политика на борба с тероризма, възприемайки редица мерки, позволяващи използването на достиженията на новите информационни технологии за превенция, ранно откриване и ефективно противодействие на тероризма. Сред възприетите нови разрешения е и засиленият обмен на данни между правоохранителните органи от различните държави, в рамките на който особено значение има обменът на резервационни данни на пътниците[2] (PNR) при ползването на авиационни транспортни услуги.
В рамките на тази нова реалност противодействието на тероризма се утвърди като едно от основните измерения на трансатлантическото сътрудничество, както между САЩ и Европейския съюз от една страна, така и между ЕС и Канада от друга. Въпреки общата заплаха и общите цели, които атлантическите партньори споделят в борбата с тероризма, взаимодействието между тях има и своите трудни моменти, както поради някои различия в общия подход на борба с тероризма, следван в САЩ от една страна и в ЕС от друга, така и поради наличието на редица проблеми в полето на основните права и зачитането на основни елементи на правовата държава, които новите мерки на борба с тероризма пораждат.
Що се отнася до обмена на лични данни, който се развива като едно от основните направления на взаимодействие в рамките на трансатлантическото партньорство в борбата с тероризма в годините след 2001, проявиха се редица деликатни моменти, свързани със зачитането на основните стандарти за защита на неприкосновеността на личната сфера и правото на защита на личните данни. Проблеми се наблюдават както в полето на трансфера на данни, свързани с финансови трансакции, така и що се отнася до прихващането на електронни комуникации и предаването на резервационни данни на пътниците.
Особено внимание в рамките на Европейския съюз беше отделено на различни аспекти на засягане на основните права при прилагането на новите разрешения за противодействие на тероризма. Предмет на засилен интерес беше и новият модел на обработване на PNR данни за целите на правоохранителната дейност, доколкото той представлява същностно различно разрешение спрямо досега прилаганите мерки на противодействие на тероризма в Европа и доколкото дава израз на коренно нова философия за намесата на публичната власт в частната сфера с оглед цели на превенцията, разкриването и доказването на престъпления.
Използването на PNR данни за противодействие на тероризма, трансферът на такива данни в рамките на трансатлантическото сътрудничество и проблемите, които се очертават в тази връзка в полето на защита на основните права, са предмет на настоящия анализ. В него на една страна ще бъде разгледано развитието на проблематиката като елемент на политиката за борба с тероризма и като измерение на трансатлантическото сътрудничество. От друга страна, ще се анализират специфичните проблеми, които използването на PNR данни за целите на правоохранителната дейност поражда в полето на защитата на основните права, както и възможните решения за преодоляването на тези проблеми.
I. Трансферът на PNR данни като елемент на трансатлантическото сътрудничество в борбата с тероризма и тежката престъпност
- Въвеждането на PNR модела като част от мерките на борба с тероризма след атентатите от 11 септември 2001 година
1.1.Резервационните данни на пътниците възникват и се развиват като елемент на предоставянето на авиационни услуги в хода на бързото разрастване на авиационния сектор в годините след Втората световна война. PNR данните са основен набор от лични данни за всяко лице, което използва самолетен полет, които авиокомпаниите започват да събират при въвеждането на автоматизирани системи за резервации и продажба на самолетни билети през 50-те години на XX век[3]. Първоначално тези системи се организират и управляват от самите авиокомпании, но с развитието на сектора на авиационни услуги обменът на данни между тях става все по-интензивен, което съответно води до създаването на глобални резервационни системи, които функционират автономно от отделните авиокомпании. С навлизането на интернет резервирането и продажбата на самолетни билети се либерализират изключително. Към самолетните билети започва предлагане на широк кръг други услуги като хотелски резервации, автомобили под наем, пакетни пътувания, което съответно има за ефект генерирането на още по-широк кръг лични данни при ползване на самолетна услуга.
Първоначално PNR записът за резервация или закупуване на самолетен билет включва пет основни компонента: 1-име на пътника; 2-контактни данни; 3-данни за билета;4-разписание на полета; 5-име на лицето, което прави резервацията. Тези данни се записват в уникален за всяко лице файл, означават се с референтен шифър и са централен елемент на администриране на цялото пътуване. Впоследствие към тези основни данни авиокомпаниите започват присъединяването на редица други данни: данни за тарифата на билета; данни за формата на плащане; данни за контакт на лице в случай на извънредни обстоятелства; специални нужди по време на пътуването и др.
1.2.Правоохранителните органи имат особен интерес към авиационния транспорт от началото на неговото съществуване. Първоначално заради риска от шпионска дейност, впоследствие заради появилите се практики на отвличане и терористични атаки срещу самолети. Изключителното значение на авиационните услуги в полето на сигурността обаче се очертава след събитията от 11 септември 2001 г., когато самолети биват използвани като средство за нанасяне на огромни поражения при терористичните атаки в Ню Йорк и Вашингтон. Така, ако значението на PNR данните за разследване на терористични атаки е вече оценено още в началото на 80-те години на XX век, то след 11 септември 2001 година PNR данните се превръщат в централен елемент на новите решения, въведени за целите на гарантиране на вътрешната сигурност в САЩ, а оттам и в редица държави, които се намират в съюзнически отношения с тях.
След 11 септември 2001 година САЩ преобразуват изцяло системата си за вътрешна сигурност и в частност уредбата и управлението на граничния контрол, за да създадат ефективни гаранции за предотвратяване на подобни атаки на своя територия в бъдеще. През ноември 2001 година е прието ново законодателство по въпросите на авиационната сигурност[4], което задължава всички авиокомпании, осъществяващи международни полети от и до САЩ, да предават предварително по електронен път PNR данните на всички пътници.
Непосредствено след атаките от 11 септември 2001 година Канада също предприема мерки по посока на засилване на авиационната сигурност по примера на САЩ. През декември 2001 година между Канада и САЩ е приета Декларация за интелигентни граници[5], която предвижда редица мерки за засилване на авиационната сигурност, в това число предаването на предварителни данни за пътниците (API)[6] и PNR данни по отношение на пътниците с висок рисков профил. Предвидени са съвместни звена за анализ на пътниците[7]. Meждувременно е прието и ново законодателство, задължаващо авиационните превозвачите да предават API и PNR данни за целите на противодействието на тероризма[8].
1.3.Що се отнася до моделите за обработване на PNR данни, познати са различни модели, без да има достатъчно подробна публична информация за който и да е от тях. САЩ вече са прилагали няколко модела на обработване на PNR данни: CAPS[9], CAPS II, ATS[10], Secure Flight Program. Всички американски модели на обработване на PNR данни почиват на общо автоматизирано обработване на данните на всички пътници, очертаване на рискови профили с различна степен на риск, в това число и автоматично определяни профили на лица с висок риск, които биват включвани в списъци за забрана ползването на полети[11].
Канада прилага собствен модел на обработване на PNR и API данни – програмата PAXIS. Канадската програма обработва PNR и API данните по идентичен начин. Данните се предоставят непосредствено преди приземяване в Канада. Програмата не включва мерки за ограничаване ползването на полети, а определя рискови профили на лица, по отношение на които следва да се извърши допълнителна проверка. PAXIS e обект на значително по-малък кръг критики, поради ограниченото значение на автоматизираната обработка на данни, определящата роля на човешкия фактор при прилагане на програмата, наличието на значително по-достъпна информация за функционирането на програмата и прилагането на процедури на преразглеждане по искане на засегнатите лица. През 2007 година е въведена допълнителна програма Passenger Protect Programme[12], която включва и възможността за ограничаване на използването на полети, основано на данни или подозрения за връзки с терористична дейност или за дейности, представляващи заплаха за сигурността на авиационния превоз. Австралия, Нова Зеландия, Южна Корея и Япония също използват модели на събиране и обработка на PNR данни за целите на правоохранителната дейност.
- Обменът на PNR данни като елемент на трансатлантическото сътрудничество в борбата с тероризма и тежката престъпност
2.1. Предвид глобалния характер на терористичната заплаха, която атаките от 11 септември 2001 година разкриват, противодействието на терористичния феномен се превръща също в основен въпрос на отношенията на САЩ с техните европейски съюзници. Европейският съюз реагира незабавно на създалата се ситуация като приема серия от мерки, насочени към засилване на борбата с тероризма, сред които особено значение имат Европейската заповед за арест, хармонизирането на законодателството за тероризма и мерките за замразяване имуществото на лица, свързани с терористична дейност. Сред първите приети от ЕС мерки обаче не фигурират нови разрешения, свързани със събирането и обмена на лични данни за пътниците. Този въпрос намира място в дневния ред на ЕС по-късно, в резултат на прилагането на американското и канадското законодателство спрямо европейски авиокомпании.
След като американските власти изискват предаването на PNR данни от европейските авиокомпании, една част от тях разрешават достъп до PNR данните в своите системи, въпреки липсата на изрична правна уредба, други обаче релевират наличието на редица проблеми в полето на приложимото в ЕС законодателство за защита на личните данни и първоначално отказват да предоставят такива данни[13]. В отговор американските власти започват налагането на глоби и очертават възможността за отнемане на разрешителни за полети до САЩ на компаниите, които не предоставят PNR данни.
За да бъде преодоляна създалата се конфликтна ситуация, Европейската комисия влиза в преговори с американските власти и сключва споразумение относно предаването на PNR данни на САЩ[14]. Споразумението предвижда предаване на данни от европейските авиокомпании на Департамента по вътрешна сигурност на САЩ по 34 компонента. Сключеното споразумение обаче бива атакувано от Европейския парламент пред Съда на Европейския съюз и съответно актът за сключването му е отменен, поради това, че излиза извън обхвата на правното основание, въз основа на което е сключено. По своята същност споразумението влиза в материята на борбата с престъпността, но е сключено въз основа на правно основание за регулиране на Вътрешния пазар в ЕС[15].
Второ споразумение за трансфер на PNR данни е сключено през 2007 година[16]. То отчита последиците от решението на Съда на ЕС по първото споразумение и съответно е сключено в рамките на особения режим на т.нар. Трети стълб – специфичната европейска уредба по въпросите на правосъдие и вътрешни работи, съществувала преди Договора от Лисабон. Споразумението има срок на действие 7 години. Второто споразумение предвижда предаването на по-ограничен кръг от данни – 19 вместо 34 компонента, предвидени в първото споразумение. Според предвиденото във второто споразумение, данните следва да се съхраняват от Департамента по вътрешна сигурност на САЩ за период от 7 години в активно състояние и за още 8 години в деперсонализирана форма. Споразумението допуска предаване на чувствителни данни и не съдържа никакви ефективни гаранции за заличаване на данните след изтичане на общия 15 годишен период на максимално допустимо съхранение. Споразумението е подложено на остри критики в Европейския съюз, както от различни институционални актьори като Европейския парламент и Европейския надзорен орган за защита на личните данни (ЕНОЗД), така и от Работна група 29, експерти и неправителствени организации, работещи в материята на защита на личните данни[17].
През 2010 година Европейският парламент отправя искане за сключване на ново споразумение за трансфер на PNR данни със САЩ[18]. През декември Съветът дава на Комисията мандат за преговори и сключване на ново споразумение с няколко основни насоки: засилване на сътрудничеството между ЕС и САЩ в рамките на трансатлантическото партньорство; противодействие на тероризма при зачитане на основните права и в частност правото на неприкосновеност на личния живот; гарантиране на сигурност на пътниците и осъществяването на ефективен граничен контрол. Успоредно с това започва и подготовката на споразумение между ЕС и САЩ за защитата на лични данни предоставени и обработвани за целите на превенцията, разследването, разкриването и преследването на престъпления. Новото споразумение за трансфер на лични данни е сключено на 26 април 2012 година и влиза в сила от 1 юли същата година[19]. Що се отнася до споразумението за защита на личните данни, то съответно е сключено след продължили повече от 4 години преговори на 2 юни 2016 г.
Въпреки че новото споразумение за трансфер на PNR данни със САЩ съдържа редица подобрения в полето на защита на личните данни в сравнение с предходната уредба, в него продължават да се открояват редица дефицити спрямо европейските стандарти за защита на личните данни. Могат да бъдат очертани няколко основни слабости на споразумението:
- наблюдават са критики по посока липсата на ясно определяне на кръга от случаи, за които ще бъде приложимо използването на предадените данни;
- споразумението не премахва възможността да бъдат третирани чувствителни данни;
- съдържат се и неясни определения относно някои от включените видове данни, които следва да бъдат предавани: “всяка налична информация за връзка”, “всяка информация за багажа”, “общи забележки по багажа”;
- продължават да се прилагат изключително дълги периоди на съхранение на данните: 5 години в активно състояние и още 10 години в архивирана форма;
- предаването на данни се извършва по “push” метода, но е запазена възможността за предоставяне на пряк достъп в извънредни случаи.
За разлика от предишните споразумения, споразумението от 2012 включва и определени гаранции за контрол над спазването на изискванията за защита на личните данни, който следва да бъде осъществяван от Длъжностното лице по защита на личните данни в Департамента по вътрешна сигурност на САЩ[20], при гарантиран в споразумението достъп до средства за правна защита, без същевременно споразумение да дава необходимата яснота относно приложимите процедури на контрол и обхвата на гарантираното право на съдебна защита. Въпреки включените нови текстове относно евентуален последващ трансфер към други органи или трети страни, дадените в тях гаранции за равнището на еквивалента защита не са достатъчно ясно уредени.
2.3. Първото споразумение за трансфер на PNR данни между ЕС и Канада е сключено през юли 2005 г[21]. То е със срок на действие четири години и може да бъде подновявано. Споразумението между ЕС и Канада среща значително по-малко критики в сравнение с уредбата на трансфера на данни към САЩ. Причините за това следва да се търсят както в спецификата на канадския модел за обработка на PNR данни, който в значително по-висока степен удовлетворява основните европейски изисквания за защита на личните данни, така и в редица съдържащи се в споразумението разрешения, които целят да отговорят на основните опасения от събирането и обработването на PNR данни от правоохранителните органи. Споразумението между ЕС и Канада определя значително по-точно деянията, за противодействието на които PNR модела може да бъде използван. Tо очертава оптимален кръг от данни, които се предоставят, като не включва данни от т.нар. категория чувствителни данни. Предаването на данни почива на т.нар. “push” метод. Споразумението предвижда период на съхранение на данните в активно състояние от 72 часа, съхранение на данните при деперсонализация до три и половина години и възможност за достъп в извънредно редки случаи за периода след деперсонализирането на данните. Споразумението предвижда също възможност засегнатите лица да търсят защита по отношение на гарантираните им права чрез техните специализирани национални органи за защита на личните данни. Следва да се подчертае, че дадените гаранции по отношение на средствата за защита са правнообвързващи, за разлика от гаранциите, дадени по аналогичното споразумение със САЩ, действащо през същия период от време. В споразумението се съдържат също и стриктни правила за предаването на PNR данни към други органи или трети страни. Това може да бъде извършвано само в отделни случаи, без да се позволява общ достъп до данните, в съответствие с общите правила за съхранение и достъп, при условие, че се гарантира равностойно равнище на защита на данните.
След изтичане срока на първото споразумение започват преговори за сключване на ново споразумение за трансфер на резервационни данни. През юни 2014 е постигнато съгласие по новото споразумение за обмен на PNR данни между ЕС и Канада[22]. Постигнатите договорености предвиждат съхраняване на предоставените данни за период от пет години, като данните се поддържат в активно състояние 30 дни, след което се деперсонализират. За предаването на данните се използва “push” метод. В същото време е допуснато, макар и в ограничени случаи, да се предават и обработват чувствителни данни при спазване на специални процедурни изисквания. В споразумението е включено и специално изискване за гарантиране на прозрачност при прилагането на уредбата по него. Като слабости на споразумението може да се посочат предвиденият ред на контрол, който не съдържа достатъчно гаранции за независимост на надзорния орган по прилагане на споразумението в Канада, удължаването на периода на съхранение на данните и липсата на ясно уредени гаранции за прилагането на ефективни правни средства за защита.
Преди да одобри споразумението през ноември 2014 година Европейският парламент решава да отправи до Съда на ЕС искане за произнасяне по чл. 218 ДФЕС относно съвместимостта на проекта за ново споразумение за трансфер на PNR данни между ЕС и Канада с първичното право на Съюза и с Хартата на основните права на Европейския съюз (ХОПЕС)[23]. Във връзка с неговото разглеждане са представени редица становища, някои от които заслужават специално внимание. В представеното на 5 април 2016 г. становище на Европейския надзорен орган по защита на данните се поддържа, че договореното споразумение не гарантира необходимото равнище на защита на личните данни, произтичащо от чл. 8 ХОПЕС. Основните доводи, изтъкнати от надзорния орган за защита на личните данни в ЕС, са свързани с липсата на ефективни гаранции за независим контрол и достъп до ефективни правни средства за защита, степента на намеса в личната сфера, която обработването на PNR данни позволява за неограничен кръг лица и прилагането на типологизирани абстрактни модели на анализ на данните, които позволяват профилиране на лицата без наличието на обективна връзка с действителното им поведение. На 8 септември 2016 г. съответно беше представено Заключението на Генералния адвокат на Съда на ЕС по проекта за споразумение[24]. Генералният адвокат подкрепя становището на Европейския парламент, че споразумението не може да бъде сключено единствено на правно основание, произтичащо от уредбата на противодействието на престъпността. Той застъпва разбирането, че видно от целите и съдържанието на предложението за споразумение, то е насочено да уреди едновременно отношения, свързани със защита на личните данни и с противодействието на тероризма и тежката транснационална престъпност, поради което следва да бъде сключено при съчетаването на правни основания, отразяващи и двоякия му характер – чл. 16, пар. 2, първа алинея ДФЕС и чл. 87, пар. 2, буква а) ДФЕС[25]. Що се отнася до съвместимостта на заложените в проекта за споразумение разрешения по предаването на PNR данни на Канада с гарантираните в правния ред на ЕС основни права на защита на личните данни и неприкосновеност на личния живот, Генералният адвокат Менгоци поддържа, че в предложената редакция споразумението се характеризира с редица положения, които влизат в разрез с правото на ЕС. В частност, открояват се няколко ключови слабости:
- не са уредени ясно категориите резервационни данни, които подлежат на трансфер;
- липсва ясна уредба относно точния кръг от престъпни деяния, във връзка с които е допустимо използването на данните;
- необходима е изчерпателна уредба на канадските компетентни органи, които могат да имат достъп до предадените данни;
- не са предоставени достатъчно гаранции относно обективността на обработката на данните с компютърни модели и относно съхраняването на данните в състояние на деперсонализация;
- не е обективно обоснована необходимостта от запазване на данните за период от пет години;
- необходима е по-ясна и изчерпателна уредба относно осъществяването на контрол над спазването на дадените гаранции от независим контролен орган;
- необходими са допълнителни гаранции, че предадените на Канада данни няма да бъдат използвани за цели, различни от борбата с тероризма и тежката транснационална престъпност и няма да бъдат предоставяни без достатъчно гаранции за защита на основните права на засегнатите лица на трети страни[26].
Генералният адвокат разглежда като абсолютно несъвместими с правото на ЕС няколко положения:
- допускането на възможност за предаване на чувствителни данни;
- допускането на възможност Канада да определя допълнителни изисквания и ограничения относно упражняването на гарантираните по споразумението права на засегнатите лица;
- допускането на възможността данните да бъдат използване за други цели и производства, освен противодействието на тероризма и тежката транснационална престъпност;
- допускането на възможността за предаване на данните на трета страна без предварителен контрол за наличие на достатъчно гаранции за защита на личните данни съобразно приложимите европейски изисквания[27].
В постановеното през юли 2017 г. решение по производството Съдът на ЕС противно на позициите на всички участвали в делото държави членки, на Съвета и на Комисията, приема, че проектът за споразумение за ново споразумение за трансфер на PNR данни от ЕС към Канада противоречи на първичното право, доколкото подобно споразумение следва да бъде сключено при съчетаване на правното основание, уреждащо полицейското сътрудничество и чл. 16, пар. 2 ДФЕС, гарантиращ защита на личните данни[28]. Наред с това Съдът намира, че в предложената редакция, споразумението нарушава чл. 7, 8, 21 и чл. 52, пар. 1 ХОПЕС. Определящи за отрицателното становище на висшата юрисдикция на ЕС са няколко положения:
- Съдът приема, че споразумението не определя при спазване на изискванията за яснота и точност, произтичащи от засягането на основни права, елементите на лични данни, които следва да се предават на канадските власти[29];
- Съдът приема също така за абсолютно недопустимо предаването и обработката на чувствителни данни, дори по изключение и при спазване на специални правила[30];
- откроена е още липсата на достатъчно гаранции за обективното и недискриминационно прилагане на модели и критерии за автоматизирана обработка на лични данни, предавани по споразумението на Канада[31];
- несъвместимо с изискванията, произтичащи от чл. 7 и 8 ХОПЕС според Съда е също допускането на възможността предадените данни да бъдат използвани за други неясно определени цели, различни от противодействието на тероризма, тежката транснационална престъпност и защита на жизнените интереси на физическите лица[32];
- от особена важност е, че Съдът на ЕС приема за противоречащо на основните изисквания за защита на личните данни допускането на последващ достъп и обработване на данните на всички лица, след използване на полет и влизане/излизане на/от територията на Канада, без наличието на обективни критерии за това, свързани с конкретни елементи на поведението на засегнатите лица и без съществуването на ясни и точни правила за използването на данните. В частност, висшата юрисдикция на Съюза счита за неоправдано запазването на данните на всички лица за продължителен период от пет години, без подобна мярка да се основава на конкретни факти, позволяващи да се заключи, че лицата представляват опасност спрямо легитимната цел, поставена в основата на механизма и без да са уредени обективни критерии за условията, при които компетентните канадски органи имат право на достъп до съхранените данни[33];
- Съдът приема за несъвместими с изискванията, произтичащи от Хартата и разпоредбите на Споразумението, позволяващи предаване на данни на трети страни, както и разкриване на данни на неуточнени други държавни органи и частни лица в Канада[34];
- не зачитат в достатъчна степен правата на защита на личните данни, установени в ЕС и тези компоненти на споразумението, уреждащи предоставянето на достъп и информация на лицата за обработката на техните лични данни в Канада[35];
- накрая, Съдът на ЕС приема, че заложените в споразумението разрешения за контрол над защитата на личните данни не удовлетворяват изискванията за независимост на контролния орган, доколкото се допуска възможността контрол да бъде осъществяван от орган, които не е юридически, извън структурата на компетентното по обработването на данните ведомство в Канада[36].
Произнесеното от Съда становище е от определящо значение за бъдещото развитие на разглежданата проблематика, доколкото в него се конкретизират изискванията на правото на ЕС за прилагането на PNR модели за противодействие на тероризма и тежката престъпност и се извеждат тълкувания на чл. 8 ХОПЕС, които поставят под въпрос някои ключови елементи от досега сключените международни споразумения между ЕС, САЩ и Австралия. Не е изключено постановеното от Съда Становище да наложи и преразглеждане на някои положения в приетия през 2016 г. европейски модел на събиране и третиране на PNR данни[37].
2.4. През 2014 година, след продължили близо 4 години преговори, ЕС и САЩ постигнаха съгласие за сключването на специален договор за защита на личните данни, предавани между двете срани за целите на превенцията, разкриването, разследването и наказателното преследване на престъпления, т.нар. Рамково споразумение за защита на личните данни[38]. Споразумението бележи нов етап в развитието на трансатлантическото сътрудничество в материята на борбата с престъпността и цели да осигури ново, много по-високо равнище на защита на личните данни, които се предоставят между ЕС и САЩ за тези цели. То е предназначено да се прилага във всички случаи на сътрудничество между правoприлагащите органи и органи на наказателно разследване и производство, в това число и при обмена на PNR данни. От съществено значение е, че с това споразумение ще бъдат обвързани и държавите членки на ЕС не само, когато действат въз основа на общите договори между ЕС и САЩ в разглежданата материя, но и в случаите когато предават данни на американските власти въз основа на двустранни споразумения[39]. Следва да се има също предвид, че дадените в споразумението гаранции са приложими не само при обработка на данни за целите на наказателното производство, но също така и от органите за защита на националната сигурност, когато работят с данни, предадени по реда на договори между ЕС и САЩ за целите на борба с престъпността. От значение е да се подчертае още, че договорът няма да представлява самостоятелно основание за предаване на лични данни, а ще действа във връзка със съответните други споразумения, сключени, за да уредят предаването на лични данни в рамките на сътрудничеството в борбата с престъпността между ЕС и САЩ. Рамковото споразумение ще бъде приложимо и към случаите, когато частни субекти предават лични данни за целите на противодействие на престъпността на компетентните органи въз основа на някое от споразуменията в тази материя[40].
Що се отнася до предвидените гаранции за защита на личните данни, чл. 5, пар. 3 от Рамковото споразумение създава обща презумпция за наличие на равностойно ниво на защита на личните данни и предполага прякото предаване на данни без допълнително разрешение или произнасяне на органи за защита на личните данни след въвеждане на разпоредбите му в правния ред на ЕС и САЩ. От друга страна независимо от разпоредбата на чл. 5, пар. 3 следва да се приеме, че органите за защита на личните данни на равнището на ЕС и на национално ниво ще имат компетентност да проверяват наличието на ефективна защита на личните данни съобразно изискванията на европейското законодателство и в съответствие с предписанията на чл. 8, пар. 3 от Хартата на основните права на Европейския съюз[41]. Същевременно по смисъла на параграф 2 на чл. 5, тази обща презумпция за равностойна защита е приложима след създаването в националното законодателство на САЩ на ефективни гаранции за достъп, поправяне и защита по административен и съдебен ред в случай на неправомерно третиране на данните в полза на гражданите на ЕС и другите физически лица, защитени от правния ред на Съюза[42]. Следва обаче да се подчертае, че споразумението, в оповестения му вид, не съдържа подробен механизъм на оценка на изпълнението на предвидените в него гаранции.
В светлината на чл. 7, 8 и 47 от Хартата на основните права на Европейския съюз, предвидените гаранции за защита на личните данни по Рамковото споразумение ще бъдат приложими за всички физически лица, попадащи под действието на правото на ЕС, а не само за гражданите на ЕС и лицата пребиваващи в Съюза. Поставят се и изисквания за целесъобразност и пропорционалност на обработването на данни[43]. Възможностите за трансфер на данните на трета страна са ограничени и могат да бъдат осъществявани със съгласие на страната, предоставила данните. Предвидена е ясна обща дефиниция за „чувствителни данни“, но същевременно се допуска предаването на такива данни, ако това не е ограничено от съответния договор, който се явява непосредствено основание на трансфера на данни.
Предложеното Рамково споразумение е първият акт в отношенията между ЕС и САЩ, който съдържа подробна и ясна уредба на правата на защита на личните данни, които следва да бъдат гарантирани при обработване на такива дата за целите на правоохранителната дейност:
- право на информираност – чл. 20;
- право на достъп – чл. 16;
- право на поправяне на неточни данни – чл. 17;
- право на административна и съдебна защита – чл. 18 и 19;
- право на индивидуална преценка – чл. 15.
Същевременно чл. 16, пар. 2 предвижда доста широк кръг изключения от общо установения режим на защита, свързани с нуждите на разследванията на престъпления, вътрешната или националната сигурност. Изключенията са доста общо определени и биха позволили съществено ограничаване на правото на достъп до събраните лични данни. Освен това, достъпът следва да бъде извършен по реда на националното право, което съответно може да породи допълнителни затруднения в упражняването на правото на достъп до данни, още повече, че предвиденият в САЩ ред в Закона за защита на неприкосновеността на личната сфера от 1974[44] разкрива редица дефицити спрямо реда за достъп до лични данни в ЕС и в частност, спрямо изискванията за защита на личните данни, които произтичат от чл. 8, пар. 2 от Хартата на основните права. Редица въпросителни стоят и що се отнася до това как точно ще бъде гарантиран ефективен ред на защита в САЩ, предвид на това, че според практиката на Съда на ЕС допускането на трансфер на лични данни към трети страни е обусловено от гарантирането на защита, съответстваща на изискванията на чл. 8 на Хартата и предполага както съществуването на ред на контрол от независим органи, така и ред на съдебен контрол, съобразен с чл. 47 от Хартата на основните права[45]. Наред с това, предвид на текста на чл. 19, пар. 1 и 2, не е ясно какъв ще е точно кръгът на лицата, които имат достъп до средства за защита. Текстът използва понятието „граждани“, но според Хартата на основните права на Европейския съюз, както чл. 8, така и чл. 47 на Хартата закрепват права за всички лица, попадащи под юрисдикцията на ЕС, а не само за гражданите на Съюза.
На следващо място, не са уредени ефективни гаранции за заличаването на данните. Според редица мнения, приетият през 2015 година Закон за правните средства за защита[46] внася незадоволителни нововъведения по отношение средствата за защита, които могат да използват лицата, които не са граждани на САЩ. В този смисъл според становището на Център за информация относно електронната неприкосновеност на личната сфера[47], изпратено до Конгреса на САЩ, предлаганите изменения не удовлетворяват необходимостта от гарантирането на равностойно равнище на защита на личните данни на гражданите на ЕС или трети страни, предадени от ЕС към САЩ за целите на дейността на правоохранителните органи, доколкото не предвиждат същия ред и обхват на защита, закрепен в Закона за неприкосновеността на личната сфера[48].
- Правна уредба на третирането на PNR данни за противодействие на тероризма и тежката престъпност в ЕС
3.1.В продължение на повече от 10 години ЕС избягваше да въведе собствен модел за събиране и третиране на PNR за целите на борба с тероризма и тежката престъпност, като същевременно прилагаше подход на двустранно сътрудничество по отношение на трансфера на PNR данни и поддържаше режим на обмен на такива данни с три държави – САЩ, Канада и Австралия.
През 2010 година Европейската комисия приема стратегия за глобален подход при трансфера на лични данни, в която съответно очертава основните линии на политика от страна на ЕС, които ще бъдат прилагани в разглежданата проблематика[49]. Като отчита значението на използването на PNR данни за целите на борбата с тероризма, Европейската комисия посочва, че занапред трансферът на PNR данни към трети страни следва да се основава на споделени цели в борбата с тероризма и на цялостното доверие, изградено между ЕС и съответната страна в рамките на режима на външни отношения на Съюза. Според Комисията от решаващо значение са също вече развитото сътрудничеството с правоохранителните и съдебните органи на третите страни, както и цялостното функциониране на правовата държава и защитата на основните права в тях. Европейската комисия посочва още, че предаването на PNR данни на трети страни следва да бъде обусловено от наличието на адекватно равнище на защита на тези данни в съответната трета страна, което е съобразено с основните изисквания за защита на данни, произтичащи от правото на ЕС.
3.2. В рамките на Европейския съюз Великобритания първа въвежда система за обработка на PNR данни за целите на борбата с тероризма и тежката престъпност. Подобни модели на обработка на данни се въвеждат на национално ниво и във Франция, Дания, Белгия, Швеция и Нидерландия[50]. Въз основа на спомагателен финансов механизъм, лансиран от Европейската комисия през 2012 година общо 14 държави членки получават финансиране за въвеждане на национални механизми за събиране и обработка на PNR данни[51].
3.3. През 2007 година Европейската комисия предложи приемането на собствен PNR механизъм на Европейския съюз. През 2011 година предложението беше подновено, като се отчетоха измененията в европейската правна рамка на материята правосъдие и вътрешни работи, внесени по Договора от Лисабон. След продължили години дискусии по приемането на самостоятелна европейска уредба и въпреки множеството критики по въвеждането на генерализиран PNR модел на обработка на лични данни в Европейския съюз, на 14 и 21 април 2016 година Европейският парламент и Съветът на ЕС приеха Директива, уреждаща използването на PNR данни за предотвратяване, разкриване, разследване и наказателно преследване на тероризъм и тежки престъпления[52]. Приемането на предложения европейски модел на третиране на PNR данни до голяма степен беше повлияно от новата вълна терористични атентати в Европа, разгърнала се през 2015 и 2016 година.
Приетата директивата въвежда общ европейски PNR модел, като предвижда предаване на определен в нея кръг от данни от страна на въздушните превозвачи по външни за ЕС полети и като разрешава тяхното обработване за целите на предотвратяване, разкриване, разследване и наказателно преследване на терористични и други тежки престъпления, определени в нарочен списък[53]. Допуска се възможността държавите членки да предвидят прилагането на общия PNR режим и по отделни вътрешни за ЕС полети. Директивата урежда предаването на данните по метода “push”. Всяка държава членка е обвързана да създаде звено за резервационни данни на пътници (ЗДП), което да отговаря за събирането на данните от въздушните превозвачи, съхраняването и обработването на тези данни в рамките на съответната държава, както и за предаването им на компетентните органи на другите държави членки или на Европол[54]. Предвидена е също възможността за създаване на съвместни звена между две или повече държави от ЕС. Такова звено се създава в една от тях и се счита за ЗДП на всички участващи държави.
Събраните данни могат да бъдат използвани за определени в директивата цели: предварителна оценка на риска за лица, по отношение на които да бъде извършена допълнителна проверка; преглед на данните по искане на компетентни органи от същата или друга държава членка; съпоставяне и анализ на данните с други бази данни, използвани за предотвратяване, разкриване и разследване на престъпления. Оценката на лицата следва да бъде извършвана въз основа на предварително определени критерии, които при никакви обстоятелства не могат да са свързани с етническия произход, политическите убеждения, религията, здравословното състояние или сексуалната ориентация на лицето. Оценката следва да бъде извършвана по недискриминационен начин. Директивата поставя изрично изискване оценката на лицата, извършвана чрез компютъризиран модел, да бъде съчетана с неавтоматизиран преглед от съответни длъжностни лица, като забранява вземането на неблагоприятни решения единствено въз основа на прилагането на автоматизирана обработка.
Всяка държава членка трябва да определи в нарочен списък компетентните органи, оправомощени да изискват или получават PNR данни или да ползват резултатите от обработването на тези данни. Според чл. 7, пар. 2 от Директивата това следва да бъдат органите, компетентни по предотвратяване, разкриване, разследване и наказателно преследване на терористични престъпления или другите тежки престъпления, посочени в нея.
Предаването на данните следва да бъде извършено в срок 24 до 48 часа преди полета, както и непосредствено преди излитане, след като пътниците са се качили в самолета. В извънредни случаи може да бъде изискано предоставянето на достъп и в по-кратки срокове.
Данните следва да бъдат предавани на ЗДП на държавата от която и към която излита полетът. ЗДП звената имат право да поискат предоставяне на PNR данни, които са в активно състояние, от всяка друга държава членка, чрез надлежно обосновано искане. В случаите, когато данните са вече деперсонализирани, предоставянето на данни е допустимо, ако са налице достатъчно основания и след разрешение на органите на контрол по чл. 12, пар. 3 от Директивата.
Директивата предвижда данните да се съхраняват в ЗДП за срок от пет години, като за период от шест месеца от предаването те следва да се съхраняват в активно състояние, а след това се деперсонифицират, чрез прикриване на елементите, които позволяват индивидуализация на лицето[55]. Предоставянето на достъп след първите шест месеца е обусловено от наличието на релевантно основание и разрешение от съдебен или друг орган, които по националното право е овластен да контролира достъпа до такъв вид данни. Директивата изисква изрично всеки случай на достъп след изтичане на първоначалния шест месечен срок да бъде проверяван от длъжностното лице по защита на личните данни в рамките на звеното.
С оглед защитата на личните данни, в рамките на националното ЗДП звено да бъде определено длъжностно лице по защита на данните, което отговаря за прилагането на изискванията за защита на данните при събирането и обработването на PNR данни. Директивата изисква да бъдат уредени ефективни форми и средства за изпълнение на задълженията на длъжностното лице за защита на личните данни, при гарантиране на пълна независимост на работата му. На субектите, чиито данни са събирани и обработвани, съответно следва да се гарантира правото да отнасят до длъжностното лице за защита на данните всички въпроси, свързани със зачитане на правата им при работата на ЗДП и прилагането на PNR модела. На длъжностното лице за защита на данните трябва да бъде предоставен пълен достъп да данните и тяхната обработка.
Директивата налага при прилагане на предвидения в нея PNR модел всяка държава членка да гарантира на всеки пътник право на защита на личните данни, право на достъп, коригиране, заличаване и ограничаване, както и право на обезщетение и съдебна защита, според общо предвидените в правото на Съюза гаранции[56]. Директивата обвързва държавите членки да забранят обработването на резервационни данни на пътниците, разкриващи расата или етническия произход на дадено лице, неговите политически мнения, религия или философски убеждения, членство в профсъюзи, здравословно състояние, сексуален живот или сексуална ориентация. В случай че ЗДП получи резервационни данни на пътниците, които разкриват такава информация, те следва да бъдат заличени незабавно.
С оглед гарантиране ефективната защита на лични данни е предвидено още държавите членки да уредят подробното документиране на събирането и обработването на лични данни в ЗДП звеното, като отразяват всички искания за достъп, отправени от компетентни органи и всички случаи на трансфер на данните. Чл. 13, пар. 6 съответно изисква сведенията за извършена справка или разкриване да включват по-специално целта, датата и часа на такива операции, самоличността на лицето, което е направило справка с резервационните данни на пътниците или ги е разкрило, и самоличността на получателите на тези данни.
Предаването на PNR данни на трета страна извън ЕС е допустимо при извършване на оценка за наличието на достатъчна степен на защита съобразно стандартите, приложими в Съюза, при условие, че предаването е необходимо с оглед на целите, предвидени с директивата и при условие, че третата страна се ангажира да трансферира данните към друга страна единствено със съгласието на държавата членка, която ги предоставя.
В хода на обсъждането на предложения механизъм за събиране и обработка на PNR данни за целите на противодействие на тероризма и тежката престъпност в ЕС бяха изказани редица критики, в които се открояват няколко основни слабости на предложението, поставящи под въпрос съвместимостта на европейския PNR модел със защитата на основните права. Въпреки че в продължилия 8 години процес на приемане на акт, уреждащ собствен европейски PNR модел, бяха направени редица положителни промени спрямо първоначално внесеното предложение, някои от очертаните дефицити на мярката остават все така актуални. Така например до края на процеса на приемане на европейския PNR модел не бяха изтъкнати никакви конкретни елементи, обосноваващи необходимостта и пропорционалността на подобна мярка. Не бяха наведени никакви обективни данни относно ефективността на прилагането на подобно разрешение, нито във връзка с досегашната практика на предаване на PNR данни на САЩ, Канада или Австралия, нито във връзка с прилагането на подобни модели на обработка в отделни държави членки. Няма изложени конкретни аргументи и по отношение на това, с какво новият механизъм ще позволи постигането на по-добри резултати от прилаганите досега системи на обработка на данни за противодействие на престъпността – SIS, API, VIS и EURODAC[57]. В този контекст Директива 681/2016 съдържа мерки, които могат да бъдат разглеждани като непропорционални спрямо преследваната с нея цел и които не удовлетворяват основните изисквания за защита на неприкосновеността на личния живот, приложими в ЕС. Могат да бъдат констатирани и слабости, свързани с липсата на точно определение за приложното поле на европейския механизъм, установяването на ясни критерии за достъп до данните, периода на съхраняване на данните, наличието на критерии, ограничаващи генерализирането на профилирането на лица, които нямат никаква обективна връзка с определена противоправна дейност.
II. Tрансферът на PNR данни – проблеми в полето на защита на основните права
- Защитата на личните данни в рамките на правния ред на ЕС
1.1.В рамките на правния ред на ЕС от определящо значение за обработването на PNR данни за целите на противодействие на тероризма и тежката престъпност е установеният режим за защита на личните данни. Правната уредба на ЕС в материята на защита на личните данни има своя генезис в Конвенция №108 на Съвета на Европа за защита на лицата при автоматизираната обработка на данни от 28 януари 1981 г. [58] и в по-широк план в практиката по прилагане на чл. 8 на Европейската конвенция за защита правата на човека и основните свободи[59].
След влизане в сила на Договора от Лисабон, защитата на личните данни е предмет на уредба в първичното право на Съюза, както в основния текст на Договорите, така и в Хартата на основните права. Според чл. 16 ДФЕС защитата на личните данни е основно право на всеки гражданин на ЕС и на всяко лице, което попада под действието на правния ред на Съюза или на някоя от неговите държави членки. Чл.8 от Хартата на основните права съответно посочва, че всеки има право на защита на личните данни, като извежда и основните гаранции за целта: „тези данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. Всеки има право на достъп до събраните данни, отнасящи се до него, както и правото да изиска поправянето им“. Според чл. 8, пар. 3 от Хартата спазването на тези правила подлежи на контрол от независим орган. По смисъла на практика на Съда на ЕС, защитата на личните данни е неразривно свързана с правото на неприкосновеност на личната сфера, гарантирано в чл. 7 от Хартата[60]. Наред с това всички държави членки на ЕС са обвързани от Европейската конвенция за правата на човека и основните свободи, а според чл. 52, пар. 3 ХОПЕС, всички съдържащи се в нея права, съответстващи на права, гарантирани в ЕКПЧ, следва да бъдат тълкувани и прилагани в съответствие с Конвенцията. Според практиката на Европейския съд по правата на човека съответно, защитата на личните данни влиза в обхвата на чл. 8 ЕКПЧ и се разглежда като проявление на гарантираното в Конвенцията право на неприкосновеност на личния живот[61].
1.2. В правния ред на Европейския съюз съществува разгърната правна рамка за защита на личните данни, по прилагането на която има богата практика. Основният акт на законодателството на ЕС в материята на защита на личните данни в продължение на дълги години е Директива 95/46[62], приета в средата на 90-те години, за да хармонизира законодателството на държавите членки на ЕС за защита на личните данни с оглед функционирането на Вътрешния пазар на Съюза. Установеният в директивата режим на защита на личните данни е приложим както към националните органи на публичната власт в държавите членки, така и по отношение на частните субекти, подчинени на техния правен ред.
В материята на противодействието на престъпността, полицейското сътрудничество и сътрудничеството по наказателни дела, е приет друг акт на правото на ЕС, който установява основните изисквания за защита на личните данни при взаимодействието между националните правоохранителни органи и съдебните органи на наказателното производство – Рамково решение 2008/977/ПВР[63]. Специална уредба е приложима за Шенгенската информационна система, Визовата информационна система, Европол и Евроюст[64]. Изискванията за защита на личните данни по отношение на институциите, органите и агенциите на ЕС съответно са установени в Регламент 45/2001[65].
През 2016 година завърши процесът на приемане на нов пакет законодателни мерки за защита на личните данни в Европейския съюз – общ регламент, уреждащ защитата на лични данни на европейско и национално ниво за всички органи на публичната власт и частни субекти, попадащи в приложното поле на правото на Съюза и директива, установяваща правилата на защита на личните данни в частност по отношение на правоохранителните и правораздавателни органи в полето на наказателното производство[66]. Новото европейско законодателство в материята на защита на личните данни запазва основните линии на досегашната уредба, като същевременно засилва защитата на правата на гражданите и формите на контрол над тяхното спазване. Особено значими нови положения са поставеното изискване за изрично писмено съгласие за обработване на данни от частни субекти във всеки отделен случай[67], правото да бъдеш забравен[68], защитата на малолетните лица[69], ограничаването на профилирането[70].
1.3. В общ порядък, независимо от съществуването на няколко различни акта, които уреждат защитата на лични данни в ЕС, европейската рамка за защита на личните данни почива на няколко основни разрешения:
- лични данни могат да се събират единствено и само в предвидени от правната уредба случаи или със съгласието на лицата, чиито данни се събират;
- събирането и обработката на лични данни следва да има легитимна цел, то не може да се отклонява от допустимите правноопределени цели на тази дейност;
- като общо правило се забранява обработката на т.нар. чувствителни категории данни – информация относно раса, политическа ориентация, религия, полови контакти, като са допустими ограничени изключения по съображения от значим обществен интерес;
- събирането и обработката на лични данни се извършва по начин, при който чрез нарочни защитни мерки се гарантира, че достъп до тях имат единствено оправомощени лица и че данните няма да бъдат обработвани за никакви други цели, освен тези, за които правомерно са събрани и се съхраняват;
- данните могат да се използват единствено за целите, за които са събрани и подлежат на съхранение за ограничен период от време;
- установяване на механизъм на независим от обработващите лични данни контрол, както и на санкционни мерки в случай на нарушаване задълженията на длъжностните лица, натоварени с обработка на лични данни.
Наред с това, правната уреда на защитата на личните данни в ЕС изисква на субектите, чиито данни са предмет на обработка, да бъдат гарантирани определени специфични права:
- право на достъп на субекта на данните до събраните и съхранявани за него данни. Това право предполага потвърждение дали се извършва обработка на данни, свързани със съответното лице, какви са целите на обработката, съответните категории данни и получателите или категориите получатели, пред които се разкриват данните. Правото на достъп налага също на субекта да бъде даден отговор в разбираема форма за данните, които са в процес на обработка и всякаква налична информация за техния източник;
- право на поправка на съхранявани данни. Субектът на данните има право да получи от контролиращия орган незабавно коригиране на неточни или непълни лични данни;
- право на заличаване на съхраняваните данни – субектът на данните има право на заличаване на данните, ако тяхната обработка е незаконна, както и след изтичането на максимално допустимия срок за съхранението им;
- право на обезщетение в случай, че за субекта на обработка са произтекли вредоносни последици от незаконно събиране, съхранение или употреба на лични данни;
- установяване на ефективни средства за правна защита с оглед зачитане на гарантираните права на субектите на обработка на лични данни. На всяко лице, субект на обработка на лични данни, трябва да се гарантира право на иск пред съдилищата или пред компетентния орган по законодателството на всяка държава-членка за получаване на достъп, поправка, заличаване или получаване на информация, или за получаване на обезщетение във връзка с незаконна обработка на данни, свързани с него.
Към така очертаните права на защита на личните данни новата европейска уредба по Регламент 679/2016 добавя още няколко права:
- право на изтриване (право да бъдеш забравен) – всяко лице има правото да поиска изтриване на свързаните с него лични данни без ненужно забавяне от администратора, който е събирал и обработва данните, когато личните данни повече не са необходими за целите, за които са били събрани; когато субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество; когато личните данни са били обработвани незаконосъобразно; когато личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото ЕС или личните данни са били събрани във връзка с предлагането на услуги на информационното общество;
- право на преносимост – субектът на данните има право да получи личните данни, които, е предоставил на администратор и има правото да прехвърли тези данни на друг администратор без възпрепятстване от този, на когото личните данни са предоставени първоначално, когато обработването е основано на съгласие или на договорно задължение и се извършва по автоматизиран начин.
Европейският режим за защита на личните данни предвижда възможността за налагане на определени ограничения на гарантираните права на гражданите, доколкото такива ограничения представляват необходима мярка за гарантиране на национална сигурност, отбрана, обществена сигурност или са свързани с предотвратяване, разкриване и разследване на „углавни престъпления“[71].
Съдът на ЕС развива изрично уредените основни изисквания към защитата на личните данни, като поставя особен акцент върху това, че законното събиране, обработка и съхранение на лични данни предполага също зачитането на принципите на пропорционалност и предвидимост. Пропорционалността като изискване към работата с лични данни обвързва да се събират данни, които не надхвърлят необходимост за постигане на легитимната цел, като същевременно са достатъчни и уместни спрямо нея[72]. Предвидимостта съответно налага събирането и обработката на лични данни да са предварително уредени, ясно обосновани и точно установени като предмет и обхват[73].
Следва също да се подчертае, че правната уредба на ЕС допуска предаването на лични данни на трети страни, само доколкото съответната трета страна гарантира достатъчна степен на защита на тези данни[74]. Достатъчният характер на степента на защита, предоставяна от трета страна, следва да се преценява в светлината на всички обстоятелства, свързани с характера на данните, предаването на данните, целта и продължителността на обработката им, законовите правила, както общи, така и секторни, които са в сила във въпросната трета страна[75]. Разрешаването на прехвърлянето на лични данни към трета страна е обвързано с наличието на обща преценка от Европейската комисия за достатъчна степен на защита и на разрешение на компетентните национални органи в отделната държава, от която се извършва предаването на данните[76].
В светлината на практиката на Съда на ЕС, следва да приемем, че изискването за наличие на „достатъчна“ защита на личните данни предполага, че от третата страна не може да се изисква да гарантира защита, която е идентична на гарантираната в правния ред на Съюза. Същевременно, както отбелязва Генералният адвокат в точка 141 от заключението си по делото Schrems (C‑362/14, EU:C:2015:627), изразът „достатъчна степен на защита“ трябва да се разбира в смисъл, че от съответната трета страна се изисква ефективно да гарантира, по силата на вътрешното си законодателство или на международните си споразумения, степен на защита на основните права и свободи, която по същество е равностойна на гарантираната в Съюза по силата на специалното европейско законодателство, разглеждано във връзка с Хартата[77].
Наред с това следва да се подчертае, че макар да е възможно средствата, които третата страна прилага, за да гарантира такава степен на защита, да са различни от прилаганите в ЕС, за да се гарантира спазването на изискванията, произтичащи от европейското законодателство, все пак е необходимо на практика тези средства да се окажат ефективни с цел да се осигури защита, която по същество е равностойна на гарантираната в Съюза, за да се допусне обработването на данните в тези страни[78].
Следва също да се отчита, че достатъчният характер на защитата, предоставяна от трета страна, е положение, което може да се промени във времето в зависимост от редица фактори. Това съответно налага държавите членки и Комисията да следят за всяка промяна в обстоятелствата, която може да породи необходимост от преоценка на достатъчния характер на степента на защита, предоставяна от трета страна. Преценката на достатъчния характер на степента на тази защита в никакъв случай не може да се определи в даден момент и след това да се остави в сила неограничено време, независимо от наличието на промени в обстоятелствата, показващи в действителност, че предоставяната степен на защита вече не е достатъчна[79].
От значение е също да се има предвид, че допускането на трансфер на лични данни към трети страни въз основа на решение относно наличието на достатъчна защита на личните данни в трета страна, не може да има за последица намаляването на защита на гражданите на ЕС при обработването на техните лични данни, когато те са прехвърляни към трета страна[80].
- Основни проблеми на трансфера на PNR данни в рамките на трансатлантическото сътрудничество
2.1.Въз основа на практиката на Комисията по оценка на адекватността на защита във връзка с предаването на данни към трети страни, както и предвид становищата на ЕОЗД и решенията на Съда на ЕС в материята на защита на личните данни, могат да се очертаят няколко основни елемента, които са от определящо значение за ефективната защита на личните данни в трансатлантическото сътрудничество в борбата с престъпността.
i. Предаването на лични данни и условията по тяхната обработка следва да бъдат уредени с ясни, точни и изчерпателни норми, които позволяват необходимата степен на сигурност и гарантират реалното зачитане на останалите условия по защита на личните данни. Приемането на ясна правна уредба е абсолютно необходимо с оглед точното определяне на целите и обхват на прилагането на PNR модела и на другите форми на обработване на лични данни[81]. Съществуването на ясна и точна уредба на ограниченията на гарантираните основни права е определящо условие за съвместимостта на предвидените ограничения, както с Хартата на основните права на Европейския съюз, така и с ЕКПЧ[82]. По смисъла на практиката на Съда на ЕС и ЕКПЧ необходимостта от това е още по-голяма, когато личните данни са подложени на автоматична обработка[83].
ii. На следващо място, наличието на адекватно равнище на защита на данните предполага зачитане на изискванията за необходимост и пропорционалност[84]. Необходимостта се обуславя от наложителността да се използват такива данни за противодействието на тероризъм и тежки престъпления, а пропорционалността съответно се проявява в това какви точно данни се събират, за какъв период от време се съхранява и доколко това е необходимо и достатъчно за постигане на легитимната цел, която стои в основата на прилагане на модела.
iii. Несъвместимо с европейската уредба на защита на личните данни е системното събиране и третиране на чувствителни данни, свързани с етнически произход, политически или идейни възгледи, религия, здравословно състояние, сексуален живот на лицата. Запазването на възможността за регулярно събиране и третиране на такива данни по споразуменията със САЩ представлява сериозен проблем в полето на защита на личните данни в ЕС. Допускането дори на възможност за предаване на такива данни по проекта за ново споразумение с Канада вече беше определено от Съда на ЕС като несъвместимо с изискванията, произтичащи от ХОПЕС. В рамките на европейското законодателство за защита на личните данни, евентуалното третиране на такъв вид данни в PNR модела не може да бъде оправдано дори по съображения за борба с тероризма, защото то е несъвместимо със самата същност на свободното общество и демократичния правопорядък.
iv. Друго определящо условие е свързано с гарантиране сигурността на съхранението и достъпа до събраните данни, което предполага създаването на достатъчно правни и технически гаранции за опазване и регламентиран достъп до тях. В рамките на правото на ЕС това изискване се конкретизира в необходимостта достъпът и последващото използване на съответните данни да бъдат строго ограничени до предотвратяването и разкриването на точно определени тежки престъпления или до наказателното преследване във връзка с тях. Необходимо е също установяването на обективни критерии, ограничаващи броя на лицата, които могат да имат достъп до данните и установяването на механизъм на предварителен контрол върху достъпа от органи, независим от лицата, третиращи данните.
v. Неразделна част от модела на защита на личните данни в една система, подчинена на върховенството на правото, е гарантирането на право на информация за събирането и третирането на личните данни, право на достъп до събираните данни, право на поправяне на неточни данни и право на заличаване на незаконно събрани данни, както и общото заличаване на данните след изтичане на определения период на съхраняването им. Съществено изискване на правото на ЕС, част от режима на защита на лични данни, е също гарантирането на обезщетение при незаконно събиране или третиране на данни, от което са произтекли вреди за частните лица.
vi. Завършващ елемент в режима за защита на личните данни, произтичащ от правото на ЕС, е установяването на ред на специален независим контрол и ред на ефективна защита на правата на защита на личните данни. Както Съдът на ЕС изрично посочва в своята практика, изискването за установяване на орган на независим контрол над спазването на режима за защита на личните данни, е изискване от конституционно за ЕС естество, доколкото то е отразено в първичното право на Съюза – чл.8(3) ХОПЕС и чл. 16(2) ДФЕС[85]. По силата на правото на ЕС независимостта на органите, контролиращи спазването на режима за защита на лични данни, предполага тези органи да упражняват правомощията си без външно влияние и без въздействие под каквато и да е форма, което е от естеството да насочва решенията им и да засегне изпълнението на задълженията им да гарантират справедлив баланс между защитата на правото на личен живот и свободното движение на лични данни[86]. Наред с това, следва да се подчертае още, че Съдът на ЕС изрично е определил, че схемите за прехвърляне на лични данни към трети страни не могат да бъдат изключени от материалното приложно поле на чл. 8, параграф 3 ХОПЕС[87].
Независими органи за контрол в материята на защита на личните данни са изградени както на равнището на Съюза, така и в отделните държави членки. Наред с общите органи за защита на личните данни – ЕОЗД и националните органи по чл. 29 на Директива 95/46, съществуват и специализирани органи за контрол в материята на правоохранителната дейност. Такива органи са предвидени по досегашната уредба на Европол и Евроюст на европейско равнище, както и по Рамково решение 2008/977 на национално ниво.
По смисъла на практиката на Съда на ЕС националните надзорни органи не са ограничени да осъществяват контрол относно спазването на елементите на защита на лични данни при трансфера на лични данни към трети страни, в това число и при наличие на общо решение на равнището на Съюза, с което се установява наличието на достатъчна степен на защита в съответната трета страна. Според решението по делото Schrems на националните контролни органи е гарантирано и правомощието да провеждат проверки по жалби в случаи на трансфер на данни към трети страни с оглед установяване наличието на достатъчна степен на защита или забрана на трансфера при липса на такава[88].
2.2. При така изведените основни елементи, обуславящи наличието на ефективна защита на основните права, свързани с неприкосновеността на личната сфера и защитата на личните данни, интерес представлява въпросът, как досегашното развитие на уредбата на прилагането на PNR модела в рамките на трансатлантическото сътрудничество се отнася към изискванията за защита на основните права?
В контекста на всичко изложено дотук, следва ясно да се посочи, че отвъд абстрактния общ анализ на съотнасянето на модела на третиране на PNR данни за целите на борбата с тероризма и тежката престъпност с изискванията за защита на личните данни, установени в правото на ЕС, практиката по прилагането на този модел и развитието на трансатлантическото сътрудничество показват наличието на няколко основни дефицита.
i. В линията на юриспруденцията на Съда на ЕС предоставянето на събрани лични данни на трети лица — публични органи или частноправни субекти, представлява намеса, засягаща правото на зачитане на личния живот, независимо от последващото използване на така предоставените данни[89]. В решението Digital Rights Ireland Съдът също така потвърждава, че разрешаването на достъп до такива данни на компетентните национални органи представлява отделно нарушение. В допълнение, всякакъв вид обработване на лични данни попада в обхвата на член 8 от Хартата и представлява намеса, засягаща правото на защита на личните данни[90]. Оттук, предоставянето на достъп на правоохранителните органи на трета страна, например на американските или канадските правоохранителни служби, също представлява намеса, засягаща основното право на защита на личните данни, гарантирано от член 8 от Хартата, тъй като подобен достъп представлява обработване на тези данни[91]. С оглед на това подобно разрешение е допустимо единствено, доколкото е необходимо с оглед постигане на легитимна цел от общ интерес и съответства на изведените в правото на ЕС условия.
Извън всякакво съмнение, данните, събирани при и по повод на ползването на авиационни услуги, са ценен източник на информация за разкриване и разследване на престъпления, особено що се отнася до форми на тероризъм и тежки престъпления. Новите технологични достижения позволяват обработване и анализ на такива данни в мащаб, който не беше възможен допреди няколко години. Автоматизираното им обработване позволява на правоохранителните органи да свързват факти, които свидетелстват за определена заплаха за вътрешната сигурност или нарушаване на правния ред, без да се отделя значителен ресурс от хора и време за преглед на големи обеми информация. С оглед на това е обясним интересът към тях за целите на противодействието на този вид престъпност. Налице е и легитимна цел от общ интерес за допускането на достъп до данните в определени случаи. Проблемът, който се поставя обаче, е свързан с обхвата на събирането на такива данни, продължителността на тяхното съхранение, реда, условията и обхвата на достъп на правоохранителните органи и наличието на достатъчно гаранции за защитата на основните права на гражданите, свързани със събирането и обработването на такива данни.
ii. Що се отнася до обхвата на третираните данни и целите на тяхната обработка, следва да бъде споделено мнението, че PNR моделът почива на събирането на значителен кръг от лични данни, които разкриват възможности за значителна намеса в неприкосновеността на личната сфера[92]. Нещо повече, тези данни се събират за всички лица, които ползват авиационни услуги, без въвеждането на каквито и да е критерии и филтриране на събираните данни с оглед на конкретни цели на правоохранителната дейност. Според мнозина събирането и третирането на подобен порядък от лични данни, особено свързано с прилагането на модели на профилиране на лицата, представлява в своята същност форма на масово следене, която е несъвместима със съществуването на правова държава[93].
За да формираме пълна представа за това, доколко можем да приемем, че събирането на PNR данни има оправдан обхват, следва да се подчертае, че при ползването на авиационни услуги в действителност се събират два вида данни: PNR данни и съответно, API данните. И двата вида данни се използват за целите на правоохранителната дейност, както и за разследване на престъпления. Същностната разлика между тях обаче се състои в това, че докато PNR данните се събират по повод ползването на обикновена услуга в рамките на гражданския оборот и осъществяваната на общо основание търговска дейност, API данните се събират с оглед преминаването на граница и не са пряко свързани със самата авиационна услуга, нито се предоставят като част от отношенията на гражданския оборот. API данните всъщност са тези данни, които пътуващите граждани следва да представят в държавата по местоназначение на тяхното пътуване, за да преминат граничен контрол и събирането им от авиокомпаниите е форма на предварително съдействие по упражняването на функциите по граничен контрол. Те обхващат личните данни от паспорта на лицето и основните данни по самото пътуване: име, вид на документа за самоличност, гражданство, дата на раждане, точка на пресичане на границата, данни за превозното средство, време на излитане и приземяване, място на излитане. Събирането и обработването на тези данни във връзка с преминаването на граница не разкрива същностни разлики с обичайната дейност по осъществяването на граничен контрол.
При PNR данните обаче картината е коренно различна. Преди събитията от 2001 година събирането и обработването на PNR данни никога не е било на общо основание елемент от правоохранителната дейност. Събирането на такива данни никога по-рано не е влизало в обхвата на контрол при преминаването на граница, нито са съществували актове на законодателството за вътрешна сигурност или борба с тероризма, задължаващи авиокомпаниите да събират и предават такива данни. Компаниите, предоставящи авиационни услуги, са въвели модели за събиране на тези данни по своя преценка, в рамките на осъществяваната от тях търговска дейност, като различните компании събират различен порядък от данни. Тези данни се събират доброволно от частните лица с друга цел. При редица авиокомпании тези данни позволяват достъп до чувствителна информация и висока степен на намеса в неприкосновеността на личния живот: лични взаимоотношения, религиозни убеждения, здравословно състояние, сексуална ориентация и др. Системното и генерализирано събиране, обработване и съхранение на такива данни създава коренно различна перспектива на намеса в личната сфера на гражданите, осъществена при това без наличието на каквито и да е признаци за противоправно поведение от тяхна страна.
Разлики се открояват и при обработването на данните. Ако при API данните в общия случай е достатъчно машинното разчитане на документа за самоличност при регистрацията преди полета и автоматичното предаване на тези данни на компетентните органи, при PNR данните третирането на събраните данни е по-сложен въпрос. В ранната фаза на развитие на PNR модела се прилага пряк общ достъп на правоохранителните органи до базата данни на авиокомпаниите по т.нар. “pull” метод. Това практически позволява извличане на цялата съвкупност от данни и се счита за съществена намеса в неприкосновеността на личната сфера. Другото възможно решение е PNR данните да се филтрират като на правоохранителните органи се предоставят част от тези данни, това е т.нар. “push” метод. Според доминиращото мнение “push” методът е в значително по-висока степен съвместим с основните изисквания за защита на личните данни. В същото време той е по-скъп и изисква допълнителни разходи за авиационните компании, които в крайна сметка понасят потребителите на техните услуги[94].
Обработването на API данните е просто и е насочено към прякото сравнение на индивидуализиращите лицата данни с масивите от информация на органите за граничен контрол относно наличието на законно основание за влизане или ограничаване на влизането в една държава. Що се отнася до PNR данните, сами по себе си те не представляват особен интерес. Те обаче разкриват значителни възможности, когато могат да бъдат свързани с други бази данни, с които правоохранителните органи разполагат. Продължителното им съхранение във времето, дори в неактивна форма, носи още по-голям потенциал за разкриване и разследване на престъпления, в това число и за противодействие на тероризма.
Съществен проблем при третирането на PNR данни представлява това, че при продължителното съхранение на такива данни и свързването им с други бази данни, с които правоохранителните органи разполагат, те позволяват автоматизираното профилиране на лицата, при извличане на неблагоприятни за тях последици от изведени по автоматичен път показатели. Дори при включване в оценката на човешки фактор, практиката на профилиране е в своята същност противоречаща не само на правата на защита на личите данни, но и на правото на човешко достойнство[95]. Предвид на възможността за прилагане на автоматизирани модели на профилиране, трудно може да бъде споделено разбирането, че събирането и обработката на лични данни е по-щадяща форма на навлизане в личната сфера, отколкото прихващането на електронни телекомуникации или достъпа до тяхното съдържание. Макар на пръв поглед това да изглежда логично, попадаме в коренно различна хипотеза, когато вземем предвид каква информация за гражданите разкриват PNR данните, оценени в тяхната съвкупност или свързани с други бази данни, съдържащи информация за същите лица. Проблемът е още по-сериозен предвид това, че събирането и третирането на PNR данни не предполага каквото и да е обективно начало на съмнение за наличието на някакво противоправно поведение на лицата[96].
Както Съдът на ЕС вече е имал повод да определи, правна уредба на събиране и обработване на лични данни, която има подобен широк обхват, надхвърля границите на строго необходимото и не е допустима в едно демократично общество[97]. Според Съда такава е правна уредба, която не предвижда никакво диференциране, ограничение или изключение с оглед на преследваната цел и която засяга абсолютно всички лица, без да е необходимо по отношение на засегнатите лица да съществуват улики, даващи основание да се подозира, че действията им са свързани с извършване на тежки престъпления. Такава е и правна уредба, която не предвижда необходима връзка между събираните данни и наличието на конкретна заплаха за обществената сигурност.
В този порядък на мисли не може да бъде заобиколен въпросът, дали подобен модел на общо събиране и третиране на лични данни не влиза в разрез с практиката по чл. 8 ЕКПЧ. Европейският съд по правата на човека неведнъж приема, че системното събиране на лична информация, в това число за административни цели, попада в полето на чл. 8 ЕКПЧ[98]. В решението си по делото S.& Marper v. United Kingdom, Европейският съд по правата на човека (ЕСПЧ) вече е посочил, че продължителното системно събиране и съхранение на лични данни на лица, които са подозирани за извършване на престъпления, но не са осъдени, представлява нарушение на чл. 8 ЕКПЧ[99]. Определящите елементи за противоправността на подобно разрешение по смисъла на решението на Съда в Страсбург са липсата на обективно начало на събиране на данните, свързано с вида и тежестта на извършено престъпление, неограниченият период на съхранение на данните, ограничената възможност за контрол над събирането и съхранението на данни и липсата на ефективни способи за защита срещу незаконосъобразно събиране и третиране на данни. От друга страна, в решението си по делото Rotaru v. Roumania ЕСПЧ по същество постановява, че системното събиране на лични данни за физически лица с цел изграждането на профили на тези лица от органите на публичната власт, следва да се разглежда като несъвместимо с чл. 8 от Конвенцията[100]. В своята същност PNR моделът разкрива и двете линии на събиране на лични данни, определени от ЕСПЧ като несъвместими с чл. 8 ЕКПЧ.
iii. На следващо място, генерализирането на събирането и обработване на PNR данни за целите на противодействие на тероризма и тежката престъпност поставя сериозен проблем в полето на основните изисквания за пропорционална и обективно обусловена намеса на правоохранителните органи в частната сфера. В държавите, обвързани с ЕКПЧ, началото на правоохранителна намеса на държавата в личната сфера, например прихващането на електронни съобщения, е допустимо и правомерно, доколкото прихващането на конкретни съобщения и наблюдението на определени лица или групи е било обосновано от някакви обективни елементи, които откриват основателно начало на съмнение, че тези лица са или могат да бъдат свързани с престъпна дейност[101]. При това, правоохранителната намеса се осъществява при наличие на подходящи и правомерни гаранции – представяне на доказателства, разрешение на съд и др.
В тази връзка не може да се пренебрегне също, че при досегашното развитие на уредбата на предаването на PNR данни в рамките на трансатлантическото сътрудничество, се наблюдават редица слабости, свързани с липсата на ясни разрешения относно точния кръг от тежки престъпления, за противодействие на които данните могат да се третират, липсата на правила относно достъпа на ограничен кръг органи до данните и наличието на ясни механизми на вътрешен контрол при обработката на данни.
За да се оцени мащабът и дълбочината на проблема с генерализираното третиране на PNR данни за целите на борбата с тероризма и тежката престъпност, следва да се имат предвид и практиките на американските правоохранителни органи да свързват обработката на тези данни с други прехвърлени лични данни. В линията на анализ на решенията по делата Digital Rights Ireland и Schrems, не е лишено от основания твърдението, че евентуалното свързване на обработката на PNR данни с всички останали данни за електронни комуникации и банкови трансакции[102], без да се прави никакво разграничение, ограничение или изключение в зависимост от преследваната цел от общ интерес, в действителност представлява налагане на един общ модел на генерализирано следене на всички граждани, който е абсолютно несъвместим със съществуването на правова държава и ефективна защита на основните права.
От значение е също, че защитата на основното право на зачитане на личния живот на равнище на Съюза изисква дерогациите и ограниченията на защитата на личните данни да се свеждат до границите на строго необходимото[103]. Както Съдът на ЕС изрично е подчертал, не се ограничава до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни на всички лица, чиито данни са били прехвърлени от Съюза към Съединените щати, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективен критерий, позволяващ да се ограничи достъпът на публичните органи до данните и тяхното последващо използване за конкретни цели, които са строго ограничени и могат да обосноват достъпа и използването на тези данни[104]. В същата логика в решението си по допустимостта на проекта за второ споразумение за трансфер на PNR данни между ЕС и Канада Съдът приема, че продължителното съхранение на личните данни на всички лица без наличието на обективни елементи, позволяващи да се заключи, че едно или друго лице е свързано с дейности, които представляват риск в полето на сигурността и противодействието на престъпността, нарушава изискванията по чл. 8 ХОПЕС[105].
iv. Друг съществен проблем, както се вижда от решението по делото Schrems, е свързан с това, че в правната система на САЩ не са налице достатъчно гаранции за ефективна защита на правото на неприкосновеност на личния живот и правото на защита на личните данни при обмена на електронни данни в рамките на трансатлантическото сътрудничество. Според широк кръг от критики, в рамките на прилаганата досега уредба на трансфера на PNR данни, а и на други лични данни за целите на противодействието на тероризма и тежката престъпност, гражданите на Съюза не разполагат с подходящи правни средства за защита срещу обработката на личните им данни за цели, различни от тези, за които са събрани първоначално и след това са прехвърлени към САЩ[106].
Що се отнася до липсата на ефективни средства за защита, Съдът на ЕС изрично посочва по повод реда на третиране на предоставените на САЩ лични данни, че правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, не зачита същественото съдържание на основното право на ефективна съдебна защита, признато в член 47 от Хартата на основните права[107]. Съдът напомня още, че в рамките на правния ред на ЕС самото наличие на ефективен съдебен контрол, чието предназначение е да гарантира спазването на разпоредбите от правото на Съюза, е неделимо свързано със съществуването на правова държава[108].
Общата федерална уредба преди приемането на Закон за правните средства за защита в САЩ не предлага ефективно средство за съдебна защита на гражданите на Съюза, чиито лични данни се прехвърлят към САЩ. Всъщност защитата срещу наблюдението от правителствените служби по раздел 702 от Закона от 1978 г. за наблюдение на чуждите разузнавателни служби се прилага единствено за американските граждани, както и за чуждестранните граждани, пребиваващи законно и постоянно в САЩ. В тази връзка контролът на американските програми за събиране на сведения чрез предоставяне на PNR данни може да бъде подобрен, като например се засили ролята на Федералния съд за контрол на чуждите разузнавателни дейности и се въведат правни средства за защита на физическите лица[109]. Тези механизми биха могли да намалят обработката на лични данни на граждани на Съюза, които не са от значение за целите на националната сигурност[110].
Следва също да се отчете, че Рамковото споразумение за защита на личните данни между ЕС и САЩ внася определени положителни изменения, но въпреки това не осигурява обхват на защита, съпоставим с изискванията на чл. 7, 8 и 47 от Хартата на основните права на Европейския съюз. От една страна, предвидените правни средства за защита на личните данни в САЩ са по-ограничени по обхват и естество от гаранциите, изисквани от правото на ЕС. Защитата, предоставена от Закона за неприкосновеността на личната сфера от 1974 не се прилага за определени масиви от данни на правоохранителните органи. От друга страна, предвидените средства за защита с приетия във връзка с Рамковото споразумение за защита на личните данни Закон за правните средства за защита не включват всички гаранции по Закона за неприкосновеността на личната сфера и са приложими за граждани на ЕС, но не и за граждани на трети страни, които попадат под юрисдикцията на Съюза[111]. Гражданите на ЕС ще имат право на жалба по административен и съдебен ред, но в по-ограничен кръг от случаи в сравнение с гражданите на САЩ и пребиваващите в САЩ. Наред с това, предвидените основания за съдебен иск са по-неблагоприятни, отколкото тези приложими за граждани на САЩ.
Недостатъците на предвидените в американското законодателство гаранции за защита на личните данни придобиват още по-ясно изразен характер след произнасянето на Съда на ЕС по проекта за споразумение за трансфер на PNR данни между ЕС и Канада, в което висшата юрисдикция на Съюза приема, че далеч по-надеждният канадски режим за защита на данните не удовлетворява изискванията, произтичащи от чл. 8 ХОПЕС[112].
v. Kaто основен недостатък на приложимия в САЩ режим може да се изтъкне и това, че придържането към изискванията за защита на личните данни може да бъде ограничено с оглед съображения за националната сигурност, обществения интерес и други нужди на правоприлагането, определени със закон, подзаконов акт или съдебна практика. От гледна точка на защитата на личните данни в ЕС предвидените възможности за ограничаване на правата на защита на личните данни са твърде общо формулирани, като същевременно не са налице достатъчно гаранции, че прилагането им от американските власти ще бъде сведено до строго необходимото. Наред с това, макар да е принципно ясно, че възможните основания за ограничаване на предоставените гаранции за неприкосновеност са от естеството да удовлетворят изискването да отговорят на цел от общ интерес, при липсата на ясна, точна и изчерпателна уредба на тези основания и условията на тяхното приложение, е налице несигурност и възможност за прекомерно широко приложение на тези ограничения. Както посочва Генералният адвокат в заключението си по делото Schrems, лесният и общ начин, по който принципите за сферата на неприкосновеност могат да бъдат отхвърлени при прилагането на нормите на американското право в случай на третиране на данни, предоставени от ЕС, е несъвместим с условието дерогациите от правилата за защита на лични данни да се ограничават до строго необходимото[113].
vi. Накрая, обективният анализ на проблематиката изисква също да се отчете, че независимо от дадените юридически гаранции за съблюдаване на основните права, защитени в правния ред на ЕС, сериозен проблем и фактор на ерозиране на доверието в рамките на трансатлантическото партньорство представляват появилите се информации за водена агресивна разузнавателна политика от страна на САЩ, която пряко засяга неговите европейски партньори. Сериозността на проблема не може да бъде неглижирана и предвид случаи като публикациите на Уикилийкс или данните, изнесени от Едуард Сноудън за практиките на нерегламентирано масово следенe, прилагани от NSA[114]. Те ясно показват, че вероятността за нерегламентиран, произволен и прекомерен достъп и изтичане на данни, е съвсем реална. Подобни случаи показват още, че ефективната защита на личните данни предполага не толкова приемането на мерки за сигурност на данните, колкото ограничаването на обхвата на третирани данни, ограничаването на периода на тяхното съхранение и установяването на ефективни механизми на независим контрол над работата на правоохранителните органи.
В съобщението относно сферата на неприкосновеност на личния живот на гражданите на ЕС и лицата, установени в ЕС, Европейската комисия поставя открито този проблем и коментира, че изнесената през 2013 г. информация за мащаба и обхвата на американските програми за наблюдение, поражда опасения за това, доколко личните данни, предоставяни на САЩ могат да бъдат ефективно защитени. Комисията посочва, че предприятия, участващи в програмата PRISM са сертифицирани по схемата за сфера на неприкосновеност[115]. Според Комисията това е превърнало схемата в един от каналите, посредством които се предоставя достъп на американските разузнавателни служби за събиране на лични данни, първоначално обработени в ЕС[116]. В тази линия на разсъждения, не е лишено от основание допускането, че правото и практиката на САЩ позволяват широкомащабно събиране и третиране на лични данни на граждани на Съюза, отвъд формално дадените за това гаранции, без гражданите на ЕС да разполагат с ефективна съдебна защита[117]. В същата логика Съдът констатира в решението Digital Rights Irland, че идентифицираната намеса се оказва широкомащабна и трябва да се счита за особено тежка предвид големия брой засегнати потребители и количеството прехвърлени данни. Тези обстоятелства и тайният характер на достъпа на американските власти до личните данни, прехвърлени в САЩ от предприятия, правят намесата в полето на лична неприкосновеност изключително сериозна и са перманентен източник на ерозия на доверието и обществената подкрепа за трансатлантическото сътрудничество[118].
Заключение
През последните повече от 10 години обичайно разглеждаме проблематиката на противодействие на тероризма през гарантирането на ефективен контрол по външните граници, през изнасянето на правоохранителната дейност възможно най-напред и най-далеч от собствената територията на нашите държави и на Европейския съюз. Развитието на събитията в Европа от 2015 насам обаче ни дава достатъчно основания да се замислим, че този подход не е докрай ефективен и е необходимо да насочим вниманието си към други мерки.
Атентатите във Франция през 2015 и Белгия 2016 година бяха извършени от лица-граждани на тези държави и на Европейския съюз, които макар да имат определена връзка с фактори извън територията на Съюза, са израснали и живели на територията на европейските държави. На територията на ЕС са подготвени и осъществени основните действия по извършените от тях терористични атаки. Тези атентати ни поставят в коренно нова ситуация, защото показват както изменение на самия терористичен феномен, така и необходимостта от нови форми на контрол, осъществяван на собствена територия. В тази връзка използването на достиженията на новите информационни технологии безспорно разкриват сериозен потенциал.
Неприкосновеността на личния живот и защитата на лични данни във фазата на общо използване на нови комуникационни технологии във всяка форма на отношения на гражданите, в която сме понастоящем, съответно са абсолютно определящи за гарантирането на свобода и сигурност, които са основно право на гражданите в ЕС и без което съществуването на демократично общество е невъзможно
Трансатлантическото партньорство в борбата с тероризма е от решаващо значение за преодоляването на вълната от международен тероризъм, насочена към подравяне на устоите на свободното общество. Няма да бъде пресилено да се каже, че без ефективно партньорство между ЕС, САЩ, Канада и другите водещи страни от свободния свят като Австралия, Нова Зеландия или Япония, тази заплаха не може да бъде надеждно неутрализирана. В същото време, независимо от критичния характер на опасността, борбата с тероризма не може и не трябва да води до отказ от основните елементи, на които свободното общество почива и в частност, от основните права, сред които от особена важност за свободата на личността са неприкосновеността на личната сфера и защитата на личните данни. Да допуснем противното би означавало да дадем на носителите на терора, това, което целят. Предвид тази опасност, намирането на пълноценен баланс между обективните нужди на сигурността и ефективната защита на основните права в ерата на информационната революция, е от решаващо значение, както за развитието на трансатлантическото сътрудничество, така и за успеха в борбата с терора, насочен срещу западното общество.
***
Read the summary in English language of this article here: Transatlantic Cooperation in Counteraction and Investigation of Terrorism and other Serious Crimes – the Exchange of PNR Data and the Protection of Fundamental Rights
***
[1] Главен асистент в катедра Международно право и международни отношения, Софийски университет. Настоящата статия е резултат от изследване, осъществено от автора за целите на участие в 11-та Конференция на Канадската асоциация за европейски изследвания (ESCA-Canada).
[2] Personal Name Records (PNR).
[3] Използването на автоматизирани системи за резервации бележи значително развитие от първата позната компютъризирана резервационна система (CRS) SABRE до съвременните глобални резервационни системи Amadeus, Galileo, SABRE, Worldspan.
[4] Aviation and Transportation Security Act.
[5] US-Canada Smart Border Declaration.
[6] Advance Passenger Information (API).
[7] Joint Passenger Analysis Units.
[8] Public Safety Act, 22 November 2001 and Canada Antiterrorism Act.
[9] Computer-Assisted Passenger Prescreening System.
[10]Automated Targeting System.
[11] Т.нар. No flight list.
[12] Aeronautics Act, R.S.C., 1985, c. A-2.
[13] Hobbing, P. ‘Tracing Terroists: The EU-Canada Agreement in PNR Matters, CEPS Special Report, 2008, p. 7.
[14] Agreement between the European Community and the United States of America on the processing and transfer of PNR data by air carriers to the United States Department of Homeland Security, Bureau of Customs and Border Protection (http://ec.europa.eu/justice/policies/privacy/docs/adequacy/pnr/2004-05-28-agreement_en.pdf).
[15] Вж. Решение от 30 май 2006, Парламента/Съвета, C-317/04 и C–18/04, EU:C:2006:346.
[16] Agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (2007 PNR Agreement), OJ L 204, 4.8.2007.
[17] Вж. De Hert, P., Bellanova, R. ‘Transatlantic Cooperation on Travelers’ Data Processing: From Sorting Countries to Sorting Individuals’, Migration Policy Institute, 2011, p. 6.
[18] Резолюция на Европейския парламент от 5 май 2010 г. относно започване на преговори за споразумения със Съединените американски щати, Австралия и Канада относно резервационните данни на пътниците (PNR).
[19] OB L 215, 11.8.2012 г.
[20] DHS Chief Privacy Officer.
[21] Agreement between the European Community and the Government of Canada on the processing of Advance Passenger Information and Passenger Name Record data, OJ L 82, 21.3.2006.
[22] Предложение за Решение на Съвета за подписване на Споразумението между Канада и Европейския съюз относно предаването и обработката на резервационни данни на пътниците (PNR данни), COM/2013/0529 final – 2013/0251 (NLE).
[23] Резолюция на Европейския парламент от 25 ноември 2014 г. относно искането за становище от Съда на Европейския съюз по съвместимостта с Договорите на Споразумението между Канада и Европейския съюз относно предаването и обработката на резервационни данни на пътниците (PNR данни)2014/2966(RSP).
[24] Вж. Заключение на Генералния адвокат Mengozzi: в производството по Становище 1/15, EU:C:2016:656.
[25] Вж. т. 66-135 от Заключението.
[26] Вж. т. 207-316 от Заключението.
[27] Вж. т. 328 от Заключението.
[28] Вж. т. 95-118 от Становище 1/15.
[29] Вж. т. 155-163 от Становище 1/15.
[30] Вж. т. 164-167 от Становище 1/15.
[31] Вж. т. 168-173 от Становище 1/15.
[32] Вж. т.179-181 от Становище 1/15.
[33] Вж. т. 200-211 от Становище 1/15.
[34] Вж. т. 212-217 от Становище 1/15.
[35] Вж. т. 221-225 от Становище 1/15.
[36] Вж. т. 228-231 от Становище 1/15.
[37] Вж. т.3 „Правна уредба на третирането на PNR данни за противодействие на тероризма и тежката престъпност в ЕС“.
[38] Вж. http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf.
[39] Вж. чл. 3 от Споразумението.
[40] Вж. чл. 3, пар. 1 от Споразумението.
[41] Вж. EDPS, Opinion 1/2016 Preliminary Opinion on the agreement between the United States of America and the European Union on the protection of personal information relating to the prevention, investigation, detection and prosecution of criminal offences, p.15.
[42] Ibid., p.14.
[43] Вж. Преамбюла на Рамковото споразумение.
[44] Privacy Act of 1974, 5 U.S.C. § 552a.
[45] Вж. Решение от 6 октомври 2015, Schrems, C-362/14,:EU:C:2015:650, т. 56-58 и т.95.
[46] Judicial Redress Act of 2015, 5 U.S.C. § 552a.
[47] Electronic Privacy Information Center (EPIC).
[48] Вж. Letter to the House of Representatives Judiciary Committee, https://epic.org/2015/09/epic-recommends-changes-to-jud.html.
[49] COM(2010)609окончателен.
[50] Вж. COM(2010)492окончателен.
[51] България, Естония, Испания, Латвия, Литва, Унгария, Румъния, Холандия, Австрия, Португалия, Словения, Финландия, Франция, Швеция.
[52] Директива 2016/681/ЕС на Европейския парламент и на Съвета от 27 април 2016 година относно използването на резервационни данни на пътниците с цел предотвратяване, разкриване, разследване и наказателно преследване на терористични престъпления и тежки престъпления, OB L 119, 4.5.2016 г.
[53] Вж. чл. 8 от Директивата.
[54] Вж. чл. 9 от Директивата.
[55] Вж. чл. 12 от Директивата.
[56] Вж. чл. 13 от Директивата.
[57] Шенгенска информационна система (SIS), Система за предварителни данни за пътниците (API), Визова информационна система (VIS), Система за сравняване на дактилоскопичните отпечатъци за целите на прилагане на общата европейска уредба в областта на убежището (EURODAC).
[58] Ратифицирана със закон, приет от XXXIX Народно събрание на 29.05.2002 г., ДВ, бр. 56, 7.06.2002 г.
[59] Handbook on European data protection law, European Union Agency for Fundamental Rights, 2014 Council of Europe, 2014, p.14
[60] Вж. Решение от 8 април 2014, Digital Rights Ireland и Seitlinger e.a., съед. дела C-293/12 и C-594/12, ECLI:EU:C:2014:238, т. 53.
[61] ECHR, Leander v. Sweden, No. 9248/81, 26 March 1987; ECHR, S. and Marper v. the United Kingdom , Nos. 30562/04 and 30566/04, 4 December 2008.
[62] Директива 95/46/EO на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, OB L 281, 23.11.1995 г.
[63] Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 година относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, OВ L 350, 30.12.2008 г.
[64] Решение 2007/533/ПВР на Съвета от 12 юни 2007 година относно създаването, функционирането и използването на Шенгенска информационна система от второ поколение (ШИС II), OВ L 205 7.08.2007; Регламент (ЕО) № 767/2008 на Европейския парламент и на Съвета от 9 юли 2008 година относно Визовата информационна система (ВИС) и обмена на данни между държави-членки относно визите за краткосрочно пребиваване (Регламент за ВИС), ОВ 218, 13.8.2008; Решение 2009/371/ПВР Решение на Съвета от 6 април 2009 година за създаване на Европейска полицейска служба (Европол), OВ L 121, 15.2.2009; Решение 2002/187/ПВР за създаване на Евроюст с оглед засилване на борбата срещу сериозната престъпност, ОВ L 63, 6.3.2002.
[65] Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни, ОВ L OB L 8, 12.1.2001г.
[66] Регламент (ЕС) № 679/2016 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО; ОВ, L119, 4.5.2016 г.; Директива 2016/680/ЕС на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета, ОВ, L119, 4.5.2016 г.
[67] Вж. чл. 7 от Регламент 679/2016.
[68] Вж. чл. 17 от Регламент 679/2016.
[69] Вж. чл. 8 от Регламент 679/2016.
[70] Вж. чл. 21 от Регламент 679/2016.
[71] Вж. чл. 13 от Директива 95/46 и чл. 23 Регламент 679/2016.
[72] Вж. решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 87 и следв.; Становище 1/15, т.140.
[73] Заключение на Генералния адвокат Juliane Kokott, 18 юли 2007, Promusicae contre Telefónica de España SAU, C-275/06, EU:C:2007:454, т.109.
[74] Вж. Становище 1/15, т. 214.
[75] Вж. чл. 25 от Директива 95/46.
[76] Вж. чл. 25, пар. 3 от Директива 95/46.
[77] Вж. заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627,т. 141.
[78] решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650 , т. 73-74.
[79] решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т.76.
[80] решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т. 46 и след.
[81] Решение от 21 декември 2016, Tele2 Sverige, C-203/15 и C-698/15,EU:C:2016:970, т. 109.
[82] Вж. решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 54; Становище 1/15, т. 141; ЕСПЧ, решение от 1 юли 2008, Liberty и др. с/у Обединеното Кралство, №58243/00 ; п. 62 и 63, решение по делото Rotaru с/у Румъния, п. 57-59; Marper с/у Обединеното Кралство, п.99.
[83] Вж. решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 55; Решение от 18 април 2013 г., М.К. с/у Франция, №19522/09, п.35.
[84] Решение от 21 декември 2016, Tele2 Sverige, C-203/15 и C-698/15,EU:C:2016:970, т. 96; Становище 1/15, т. 140 и 154 и следв.
[85] Вж. решения Комисия/Унгария, C‑288/12, EU:C:2014:237, т. 48 и решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 68.
[86] Вж. заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, т.68 и чл. 28, пар. 1 от Директива 95/46; Вж. също Становище 1/15, т. 228-231.
[87] Вж. заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, т.72.
[88] Вж. решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т.53-56.
[89] Вж. Становище 1/15, т. 124.
[90] В този смисъл Решение от 17 октомври 2013 г., Schwarz, C‑291/12, EU:C:2013:670, т. 25.
[91] Вж. в този решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т.38-43; Вж. Становище 1/15, т. 124-126.
[92] Вж. в същия смисъл Становище 1/15, т. 128-132.
[93] Pleading notes of the European Data Protection Supervisor (EDPS), on the Opinion 1/15 case before the European Court of Justice, Hearing of 5 of April 2016; ’Data retention after the Judgment of the Court of Justice of the European Union, Franziska Boehm, Mark D. Cole, 2014, p. 94; Ilina Georgieva, ‘The Right to Privacy under Fire-Foreign Survillance under the NSA and the GCHQ and Its compatibility with Art.17 ICCPR and Art. 8 ECHR’, Utrecht Journal of International and European Law, 2015, 31(80), p.104; Rikkie Frank Joergensen, ‘Can human rights law bend mass surveillance?’, Internet Policy Review, Vol.3, Issue 1, 2014.
[94] Вж. De Hert, P.,Bellanova, R.,‘Transatlantic Cooperation on Travelers’ Data Processing: From Sorting Countries to Sorting Individuals’, Washington, DC, Migration Policy Institute, 2011, p.4.
[95] Вж. Brouwer, E., ‘Тhe EU Passenger Name Record System and Human Rights – Transferring passenger data or passenger freedom’, CEPS Working Document No 320, 2009, p. 21.
[96] Относно възможното противоречие на подобен модел на третиране на лични данни с правото на ЕС вж. Решение от 21 декември 2016, Tele2 Sverige, C-203/15 и C-698/15,EU:C:2016:970, т. 97-100.
[97] Решение от 21 декември 2016, Tele2 Sverige, C-203/15 и C-698/15,EU:C:2016:970, т. 105-107.
[98] ECHR, Amann v. Switrzerland, 16 of February 2000, No27798/95.
[99] ECHR, S and Marper v. United Kingdom, 4 of December 2008, No 30566/04, para. 122.
[100] Вж. ECHR, Rotaru v. Roumania, 4 of May 2000, No 28341/95, para. 43-44.
[101] Вж. в същия смисъл решение от 21 декември 2016, Tele2 Sverige, C-203/15 и C-698/15,EU:C:2016:970, т. 110-111.
[102] Според изнесеното в рамките на делото Digital Rights Ireland, т. 57-59, достъпът на американските разузнавателни служби до прехвърляните данни засяга общо всички лица, които използват електронни съобщителни услуги, без да е необходимо съответните лица да представляват заплаха за националната сигурност; Вж. още Заключение на Генералния адвокат по делото Schrems, т. 198-200.
[103] Вж. решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 52 и цитираната съдебна практика; Вж. решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т.91-92.
[104] Вж. решение от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, т. 57—61; Решение Schrems, т. 93
[105] Вж. Становище 1/15, т. 196 и следв.
[106] Вж. заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, т.163-165.
[107] Вж. решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т. 95.
[108] Вж. в този смисъл решения Les Verts/Парламент, 294/83, EU:C:1986:166, т. 23, Johnston, 222/84, EU:C:1986:206, т. 18 и 19, Heylens и др., 222/86, EU:C:1987:442, т. 14 и UGT-Rioja и др., C 428/06—C 434/06, EU:C:2008:488, т. 80, вж. решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650,т. 95.
[109] The United States Foreign Intelligence Surveillance Court (FISC, FISA Court) е специализирана федерална юрисдикция, която контролира мерките на наблюдение на чужди разузнавателни дейности по Закона за наблюдение на чуждите разузнавателни служби от 1978 (Тhe Foreign Intelligence Surveillance Act of 1978 NSA.
[110] Вж. в този смисъл заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, т.211.
[111] В. EPIC, “The EU-US Umbrella Agreement and the Judicial Redress Act: Small Steps Forward for EU Citizens’ Privacy Rights”, October 2015; Opinion 1/2016 of the European Data Protection Supervisor n the agreement between the United States of America and the European Union on the protection of personal information relating to the prevention, investigation, detection and prosecution of criminal offences, accessible on 2 of May 2016 on https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-02-12_EU-US_Umbrella_Agreement_EN.pdf; Legal opinion of the Legal Service of the European Parliament, SJ-0784/15 Re: EU-US Umbrella agreement concerning the protection of personal data and cooperation between law enforcement authorities in the EU and the US, 14.01.2016.
[112] Вж. Становище 1/15, т. 228-231.
[113] Вж. заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, т. 182.
[114] National Security Agency of the United States.
[115] PRISM (US-984XN1) e програма за разузнавателно наблюдение чрез събиране на данни в интернет и други форми на електронни съобщения, насочена към субекти извън САЩ и управлявана от NSA.
[116] Вж. COM(2013)847 окончателен, стр. 20.
[117] Вж. в същия смисъл заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, 157-158.
[118] Вж. заключение на генералния адвокат Bot по дело Schrems, C‑362/14, EU:C:2015:627, т. 171.