Законодавство, яке надає державним органам широкі повноваження щодо збирання даних через тотальне прослуховування та перехоплення інформації з усіх каналів зв’язку, повинно містити достатні гарантії захисту персональних даних від свавільного використання.

Відсутність таких гарантій обійшлася уряду Швеції у 52 625 євро відшкодування витрат з констатацією порушення статті 8 Конвенції про захист прав людини і основоположних свобод (Конвенція), яка гарантує повагу до приватного та сімейного життя людини, дому та листування.

Відповідне рішення ухвалила Велика палата Європейського суду з прав людини (ЄСПЛ) 25 травня 2021 року у справі «Центр справедливості проти Швеції» (скарга № 35252/08). Рішення ухвалено 15 голосами проти двох. Суд констатував, що недостатні запобіжні заходи щодо збирання інформації з масових сигналів та розвідувальних даних загрожують свавіллям і зловживаннями.

Попри те що загалом режим масового перехоплення даних у Швеції відповідав вимогам Конвенції щодо якості закону, він мав три вразливості, які стали критичними для цієї справи:

— не було чіткого правила щодо знищення перехопленого матеріалу, який не містив особистих даних;

— під час передання розвідувальних матеріалів іноземним партнерам не було гарантовано врахування інтересів приватності приватних осіб;

— був відсутній ефективний перегляд зібраної інформації постфактум.

Таким чином, система не відповідала вимозі «наскрізних» гарантій, перевищила свободу розсуду державою­відповідачем та не захищала від ризику свавілля і зловживання.

Таємні дозволи на масове перехоплення даних

У Швеції масове перехоплення електронних сигналів є однією з форм розвідувальної діяльності, яка регулюється відповідним Законом про розвідку сигналів (Signal Intelligence Act). Це законодавство надає право Національному управлінню радіооборони (The National Defence Radio Establishment, Управління), урядовій установі в системі органів Міністерства оборони Швеції, здійснювати розвідку сигналів шляхом масового перехоплення.

Для проведення масового збирання сигналів та розвідувальної інформації Управління повинно отримати дозвіл Суду зовнішньої розвідки, діяльність якого є цілком таємною.

Дії Управління щодо виконання судового дозволу контролюються Інспекцією зовнішньої розвідки, раду якої очолюють постійні або колишні судді. Вона надає доступ до комунікацій та контролює діяльність від початку до кінця. Зокрема, перевіряє перехоплення, аналіз, використання та знищення матеріалів. Інспекція може ретельно перевіряти використані межі пошуку та мати доступ до всіх відповідних документів Управління. Також певні повноваження щодо кон­тролю збирання та використання зібраних Управлінням даних мають національний орган із захисту даних, омбудсмен і канц­лер юстиції.

Свобода розсуду держави в питаннях національної безпеки

Заявник у цій справі — Центр справедливості — неприбутковий фонд, створений у 2002 році, основна діяльність якого пов’язана з представленням інтересів клієнтів у судових спорах щодо прав людини, зокрема проти держави. Фонд веде активну діяльність, щодня спілкуючись з окремими особами, організаціями та компаніями, локалізованими як у Швеції, так за кордоном, у тому числі щодо порушень із боку органів влади Швеції, часто з чутливих питань, використовуючи такі засоби комунікації, як електронна пошта, телефон і факс.

Тому, звертаючись до ЄСПЛ, заявник стверджував, що:

— існує ризик того, що його комунікації вже було перехоплено або буде перехоплено та перевірено внаслідок розвідки сигналів;

— не існує жодного ефективного національного засобу правового захисту щодо порушення Конвенції, які він міг би використати на національному рівні до звернення в ЄСПЛ.

Заяву про ймовірне порушення статті 8 Конвенції Центр подав до Європейського суду з прав людини 14 липня 2008 року. 19 червня 2018 року Палата Суду ухвалила рішення, встановивши відсутність стверджуваного порушення.

Мотиви ЄСПЛ були такими:

— подібна система є вкрай важливою для цілей національної безпеки;

— рішення про встановлення режиму масового перехоплення з метою виявлення терористичних загроз було прийнято в рамках свободи розсуду держави;

— хоча є можливості для покращення, зокрема в аспекті регулювання передання персональних даних іншим державам та міжнародним організаціям та відмов від публічних пояснень після розгляду індивідуальних скарг, загалом система не виявляє істотних недоліків у своїй структурі та функціонуванні;

— шведська система розвідки сигналів забезпечує адекватні та достатні гарантії проти свавілля і ризику зловживань;

— структура та функціонування системи пропорційні цілям, яких потрібно досягти.

19 вересня 2018 року заявник подав заяву про передання справи до Великої палати ЄСПЛ, слухання відбулося 10 липня 2019 року, а остаточне рішення було ухвалено лише цього року.

Дотримання гарантій за принципом «від кінця до кінця»

Ухвалюючи рішення, Велика палата ЄСПЛ нагадала, що, зважаючи на поширення загроз, із якими держави стикаються з боку мереж міжнародних суб’єктів, що використовують інтернет для спілкування і часто уникали виявлення завдяки використанню складних технологій, Суд дотримується принципу широкого розсуду держав під час обрання схеми спостереження, необхідної для захисту національної безпеки. Тобто саме собою рішення про застосування режиму масового перехоплення даних не порушувало статтю 8 Конвенції.

Однак з огляду на змінний характер технологій комунікацій звичайний підхід Суду до режимів цільового спостереження необхідно адаптувати, щоб він відображав специфічні риси режиму масового перехоплення, за якого було б нівельовано ризик зловживань і забезпечено законну потребу в таємниці.

Така система повинна відповідати «гарантіям від кінця до кінця», що означає:

— необхідність і пропорційність вживаних заходів на кожному етапі процесу;

— незалежну авторизацію масового перехоплення на самому початку процедури, коли визначаються об’єкт та обсяг операції;

— забезпечення незалежного нагляду впродовж проведення операції та незалежної перевірки постфактум.

Ці критерії є ключовими для того, щоб внутрішнє законодавство можна було назвати таким, що відповідає стандартам Конвенції.

Суд зауважив, що загалом шведські спецслужби дуже ретельно виконували свої обов’язки відповідно до Конвенції та що основні риси шведського режиму масового перехоплення відповідають вимогам Конвенції.

Однак ЄСПЛ знайшов три проблеми в законодавстві, які не дають змоги стверджувати, що забезпечено гарантії стосовно поваги до приватного життя осіб на кожному з етапів операцій з перехоплення даних.

До таких дефектів законодавства ЄСПЛ відніс:

— відсутність чіткого правила щодо знищення перехопленого матеріалу, який не містив особистих даних (порядок знищення інформації, яка містить персональні дані, було передбачено);

— відсутність у Законі про розвідку сигналів або іншому відповідному законодавстві вимоги, що інтереси приватності приватних осіб має бути враховано (гарантовано незалежним органом або судом) до прийняття рішення про передання отриманих шведськими спецслужбами розвідувальних матеріалів іноземним партнерам;

— відсутність ефективного перегляду накопиченого матеріалу постфактум, тобто оцінки дотримання спецслужбами гарантій прав людини в процесі виконання завдань національної оборони.

Тож ЄСПЛ дійшов висновку, що наявні недоліки вказують на перевищення урядом Швеції свободи розсуду під час встановлення правил масового перехоплення даних та відсутність достатньо ефективного захисту від ризику свавілля та зловживань спецслужб.

Саме це і становить порушення статті 8 Конвенції в цій справі.

Ірина ГОНЧАР «Юридична практика»