2май2018

CLOUD Act, концепцията за юрисдикцията и достъпът до данни

Danni

Законът за определянето на ясни правила за законосъобразното използване на данни, съхранявани в чужбина[1] (CLOUD Act), приет от Конгреса на Съединените американски щати на 23 март 2018 г., следва да измени и допълни Закона за съхраняване на електронни съобщения (Stored Communications Act) от 1986 г.[2] и цели да внесе яснота по въпросите, свързани с възможността компетентните американски разследващи органи да изискват от доставчици на услуги със седалище на територията на САЩ данни, които се съхраняват извън страната. В допълнение CLOUD Act предлага решение за някои проблеми, свързани с международното сътрудничество по наказателни дела, когато чуждестранен разследващ орган изисква данни от американски доставчик на услуги.

Предистория

Приемането на CLOUD Act с цел оправомощаване на американските разследващи органи да получават от доставчици на услуги данни, които не се съхраняват на територията на Съединените щати, е предшествано от няколко други законопроекта, изготвени със същата цел, които обаче не преминават успешно през Конгреса: Закон за достъп на правоохранителните органи до данни, които се съхраняват в чужбина (LEADS Act[3]), през 2015 г. и Закон за неприкосновеност на международните съобщения (ICPA[4]) през 2016 г. Повод за изработването, представянето и приемането на CLOUD Act стават дискусионните въпроси, възникнали в рамките на висящото пред Върховния съд на САЩ дело „Microsoft (Ирландия)“. Обстоятелствата по делото са следните:

През декември 2013 г. съдия от Южния окръжен съд на Ню Йорк издава разпореждане, което разрешава извършването на претърсване и изземване на информация от e-mail акаунт на Microsoft[5].  Всички данни за съдържанието на изпратените съобщения от този профил се съхраняват на сървър в Дъблин, Ирландия. Съдебното разпореждане е издадено въз основа на Stored Communications Act (SCA) като част от Закона за неприкосновеност на електронните съобщения от 1986 г. Този закон позволява на изпълнителната власт да поиска от съд издаването на разпореждане за предоставянето от страна на доставчик на услуги на почти всички данни, с които този доставчик разполага по отношение на конкретен потребител при наличие на обосновано предположение, че тези данни са от значение за разкриването на обективната истина по съответното дело[6]. Важно е да се отбележи, че до влизането в сила на CLOUD Act Stored Communications Act не посочва изрично, че разпоредбите му се прилагат и екстериториално.

Поради тази причина Microsoft не предоставя съдържанието на съобщенията, които се намират на ирландския сървър. Компанията оспорва съдебното разпореждане, тъй като счита, че американският съд не разполага с компетентност да постанови извършването на претърсване и изземване извън територията на САЩ[7]. През 2014 г. Южният окръжен съд отхвърля искането на Microsoft, но на 14 юли 2016 г. апелативният съд на втори съдебен окръг отсъжда в полза на компанията и отменя разпореждането. На 16 октомври 2017 г. Върховният съд приема делото за разглеждане по искане на американските власти[8].

Първоначалните очаквания бяха решението по делото да бъде постановено през юни 2018 г. На практика обаче влизането в сила на CLOUD Act обезсмисля произнасянето на Върховния съд по делото „Microsoft (Ireland)”. То става безпредметно, доколкото новият закон изрично урежда дискусионния въпрос по делото – достъпа на разследващите органи до данни за съдържание, които се съхраняват извън територията на САЩ. Поради тази причина в края на март 2018 г. Министерството на правосъдието (Department of Justice) на САЩ подаде молба за оттегляне на искането за разглеждане на въпросния казус, като се очаква Върховният съд да я уважи и да прекрати делото.

Мотиви за приемането на CLOUD Act

Вносителите на закона посочват, че навременният достъп от страна на разследващите органи до електронни доказателства, които се съхраняват от доставчиците на услуги, играе съществена роля за защитата на обществената сигурност и в борбата срещу тежката престъпност, вкл. тероризма. Усилията в тази насока биват възпрепятствани от неспособността на компетентните органи да получават достъп до данни, които са в притежание или под контрола на доставчици със седалище в САЩ, които обаче се съхраняват извън територията на страната.

В тази връзка следва да се напомни, че едни от най-големите доставчици на електронни съобщителни услуги в световен мащаб (Microsoft, Google, Facebook и др.) установяват своето седалище именно на територията на САЩ. Притежавайки огромен дял в комуникационната индустрия, тези компании запазват огромни обеми от данни за физически и юридически лица, като често тези данни се съхраняват извън територията на страната[9], тъй като местоположението на сървъра се определя в съответствие от предоставената информация за местоживеенето на потребителя, а тези компании развиват бизнес и в най-далечните кътчета на световната карта. Именно този подход позволява на доставчиците постоянно да подобряват качеството на услугите си, тъй като скоростта на връзката зависи от разстоянието, което данните изминават до сървъра.

Вносителите изрично отбелязват и нарастващия брой на исканията от страна на компетентните органи на други държави за предоставяне на електронни доказателства от страна на американски доставчици на услуги за целите на борбата с тежката престъпност. В тези случаи доставчиците на услуги са поставени пред потенциален конфликт на задължения, произтичащи от правото на съответната държава, което изисква да бъде даден достъп на разследващите органи, и от американското право, което налага допълнителни изисквания за предоставянето на подобен достъп.

На практика това означава, че доставчиците на услуги ще бъдат принудени да избират задълженията си съобразно кое право да изпълняват и по кое – не. Такава ситуация възниква и след приемането на новия закон, когато Stored Communications Act изисква предоставянето на електронни доказателства от страна на американски доставчик, което обаче е забранено съгласно разпоредбите на правото на държавата, в която се съхраняват съответните данни. Поради тази причина CLOUD Act предлага като опция сключването на споразумение между САЩ и други страни, което да служи като основание за трансфер на изискваните данни, без да е необходимо да се преминава през процедура за изпращане и изпълнение на молба за правна помощ.

CLOUD Act и концепцията за приложимата юрисдикция

С оглед разширяването на приложното поле на закона чрез въвеждането на принципа на екстериториалност се добавя „§ 2713. Задължение за съхраняване и предоставяне на съобщения“ със следния текст: „Доставчик на електронни съобщителни услуги следва да се съобразява със задълженията по тази глава за съхраняване, създаване на резервни копия и предоставяне на съдържанието на електронни съобщения и други записи или информация, които се отнасят до даден клиент или потребител и които са в притежание или под контрола на този доставчик, без значение от това дали тези съобщения или информация се намират в или извън Съединените щати.“

Прилагането на подобен подход повдига някои въпроси, свързани с теорията за националния суверенитет и юрисдикцията при провеждане на разследвания по наказателни дела[10]. Сама по себе си юрисдикцията представлява елемент на държавния суверенитет – правото да се създават и изпълняват правни норми като съществен елемент от държавната власт. Според класическото Вестфалско разбиране[11] това право е ограничено до действия, извършени в рамките на държавната територия, като нито една държава не може да извършва каквито и да е интервенции спрямо вътрешните работи на друга[12] – най-често, разбира се, става въпрос за действия, които се извършват на територията на друга държава. По същество правилата за юрисдикцията разпределят компетентността на отделните държави, служейки като своеобразни „правила за движение“ в международния правен ред.

Разследването следва да зачита суверенитета на другите държави, а задължаването на доставчик на услуги да предаде данни, които се намират на чужда територия, представлява мярка на държавна принуда, която съгласно настоящите постулати на международното право би могла да бъде осъществена единствено от държавата, на територията на която се съхраняват данните. Противното би представлявало нарушение на принципа за приложимата юрисдикция.

Горепосоченото обаче не означава, че екстериториалното приложение на закона с оглед предоставянето на данни, които са в притежание или под контрола на доставчик на услуги, е неприемливо от юридическа гледна точка, още повече като се има предвид, че в днешно време съществуват изключения, които позволяват подобно приложение в ограничени мащаби, а принципът на териториалността се тълкува все по-свободно[13]. Да, този подход на практика означава разширяване на суверенитета на една държава за сметка на ограничаването на суверенитета на друга, но е безспорен факт, че правният ред следва да се съобразява с развитието на обществените отношения в национален и световен мащаб.

Прогресът на електронните съобщителни услуги и всички дейности, които биха могли да бъдат извършени във виртуалното пространство, следва непременно да се вземат предвид при изграждането на бъдещата правна архитектура, съответно при внасянето на необходимите изменения в настоящата. Тези аргументи следва да се приемат за релевантни дори когато става въпрос за нуждата от изменение на основни правни принципи като теорията за суверенитета и приложимата юрисдикция, за да може да се даде адекватен отговор на всички предизвикателства, възникващи в кибернетичния свят.

Въпреки това все още въпросът за юрисдикцията продължава да се разглежда като териториалноцентричен[14], макар че териториалната връзка става все по-изкуствена, особено когато става дума за виртуалното пространство. При дейност, която се извършва в Интернет, този принцип води до редица практически проблеми, доколкото по-голям брой държави биха могли да претендират, че имат юрисдикция в зависимост от това къде е разположен сървърът; къде е разгледано съдържанието на данните; къде съдържанието е качено (upload) в информационната система (сървъра) и др.

Концепцията за юрисдикцията е създадена за целите на физическия свят, когато единственият начин една вещ да бъде в притежание или под контрола на дадено лице е бил тази вещ да бъде в неговото физическо владение. Така се създава теорията, че всяка държава може да налага своя суверенитет само върху своята територия, т.е. мястото, което тя контролира физически и където упражнява своята власт. Следователно юрисдикцията се отнася до територията само доколкото във физическия свят това е единственият начин да упражниш контрол над дадена вещ. В своята същина обаче юрисдикцията касае именно възможността за упражняване за контрол, без значение дали съответната вещ е във физическо притежание на съответното лице или не.

Именно тази възможност за контрол от разстояние, която се позволява от новите достижения на техническия прогрес, е в генезиса на преосмислянето на теорията за приложимата юрисдикция. Във времена, в които всеки човек може да достъпи информация от всяка точка на Земята, местоположението на данните не би могло да бъде единствената релевантна привръзка с оглед определянето на компетентната държава, която да има изключителното право да изиска предоставянето на определени данни[15]. Това би могло да бъде извършено и от друга държава, стига доставчикът, под чийто контрол се намират изискваните данни, да е със седалище или с място на стопанска дейност в тази страна. От тази гледна точка концепцията за приложимата юрисдикция, основана единствено на територията, където се съхраняват изискваните данни, може да се определи в известен смисъл като остаряла и неспособна да бъде ефективно прилагана в условията на кибернетична революция, чиито достижения се използват и от недобросъвестни лица за незаконосъобразни цели.

В тази връзка обаче следва да се прави разграничение между „законодателна“ и „изпълнителна“ юрисдикция. Законодателната юрисдикция включва в себе си правото на държавата да прилага законите си към определен тип поведение, а изпълнителната – правото на прилагане на принудителни мерки по отношение на лице, което не се съобрази със задължението за определено действие или бездействие. Съвсем логично правилата за изпълнителната юрисдикция са доста по-стриктни от тези за законодателната, доколкото например при извършено престъпление извършителят може да бъде задържан само на територията на страната, където се намира. Противното би означавало компетентни органи на една държава физически да извършват действия на територията на друга, което би представлявало грубо нарушение на териториалния принцип, а такъв подход безспорно не може да бъде насърчаван[16].

Интересен въпрос е дали забраната за предприемане на действия на чужда територия следва да включва в себе си и извършването на дистанционно претърсване на компютърни информационни системи в чужбина. Подобна дейност е законосъобразна, когато информацията е публична (чл. 32, б. „а“ от Конвенцията от Будапеща), но някои държави позволяват на компетентните си органи подобно претърсване без преминаването на процедурата за правна помощ и без съгласието на държавата, където се намира тази система (напр. чл. 88ter от Наказателно-процесуалния кодекс на Белгия, който позволява на разследващ съдия да разпореди копирането на данни с местоположение в чужбина, при условие че съответната държава е уведомена за това).

Когато обаче става въпрос за предоставяне на данни, които са под контрола или в притежанието на юридическо лице, което по принцип е под юрисдикцията на дадена държава, доколкото неговото седалище е на нейна територия, ситуацията е доста по-различна[17]. От една страна, съгласно гореизложеното, не съществува проблем за въвеждането на законодателна юрисдикция (предписване на определено поведение). От друга – мислимо е дори и разширяването на изпълнителната юрисдикция, доколкото изискващата данните държава може да наложи за незаконосъобразното неизпълнение на заповедта за предоставяне на електронните доказателства например глоба, а при липсата на доброволно плащане[18] – да инициира принудително изпълнение, насочено срещу имущество на юридическото лице, което се намира на нейната държавна територия.

Разбира се, подобно разширяване на юрисдикцията чрез въвеждането на екстериториалния принцип следва да бъде осъществено заедно с включването на необходимите гаранции срещу злоупотреба, които ще пресекат възможностите за накърняване на основните права на човека, вкл. правото на неприкосновеност на личната комуникация и защитата на личните данни. Гаранциите биха могли да включват възможност за обжалване на издадено разпореждане за предоставяне на данни, съхранявани в чужбина, пред по-горна съдебна инстанция, уведомяване на държавата, на чиято територията се намират данните, правото да се възрази срещу предоставянето на тези данни въз основа на изрично посочени основания и др.

CLOUD Act – съдържание

Искане за отмяна или изменение на съдебното разпореждане за предоставяне на данни („клауза за вежливост (comity clause)“)

Чрез допълнение в § 2703 в Stored Communications Act се създава възможност за доставчиците на електронни съобщителни услуги да поискат отмяната или изменението на съдебното разпореждане, с което те се задължават да предоставят определени данни, когато имат основание да считат, че:

  • потребителят или клиентът, за когото се отнасят данните, не е лице, свързано със САЩ[19], или лице, което местопребивава в САЩ, и
  • предоставянето на данните ще представлява нарушение на законодателството на съответна друга държава.

Съгласно дефинициите в CLOUD Act (§ 2703) „съответна друга държава[20]“ означава друга държава, с която САЩ е сключила изпълнително споразумение, което е влязло в сила съгласно разпоредбите на раздел 2523 (вж. по-долу) и законодателството на която:

  • разрешава на местните доставчици на услуги да предоставят данни по искане на американски компетентен орган, посочен в изпълнителното споразумение, когато се касае за данни на американски гражданин или лице, местопребиваващо в САЩ, и
  • предоставя на доставчиците същата процесуална възможност за отмяна или изменение на съдебното разпореждане като посочената по-горе.

Обжалването следва да бъде извършено в 14-дневен срок от връчването на съдебното разпореждане, като в този период доставчикът може да поиска от съда да удължи срока. Това право на обжалване може да бъде упражнено независимо от съществуването на други основания за отмяна на съдебното разпореждане, посочени в Stored Communications Act, като следва да бъде основано върху стълкновението със законодателството на другата държава, което възниква в създалата се ситуация с оглед предоставянето на изискваните данни.

Съгласно правилата, предвидени в CLOUD Act, съдът може да измени или отмени съдебното разпореждане, само ако намери, че:

  1. предоставянето на данни ще принуди доставчика на услуги да наруши законодателството на съответната друга държава,
  2. отчитайки всички обстоятелства по делото, интересите на правосъдието изискват съдебното разпореждане да бъде изменено или отменено и
  3. клиентът или потребителят, за който се отнасят изискваните данни, не е лице, свързано със САЩ, или лице, което местопребивава в САЩ.

За вземането на решение по т. “2” съдът следва да вземе предвид:

  • интересите на САЩ, вкл. интересите на компетентния орган по разследването, който изисква предоставянето на данните;
  • интересите на другата държава с оглед предотвратяването на всяко разкриване на данни, забранено от закона;
  • вероятността от налагането и характера на санкцията, която може да се наложи на доставчика или негови служители в резултат на нарушаването на националното законодателство;
  • местоположението и гражданството на потребителя или клиента, за когото се отнасят данните, и, ако има информация за това, характера и степента на връзката му със САЩ, или когато съдебното разпореждане е издадено по искане на чуждестранен орган въз основа на § 3512[21], характера и степента на връзката на лицето с държавата на чуждестранния орган.
  • характера и степента на връзката на доставчика със САЩ, както и дейността му на територията на страната;
  • значението на изискваните данни за разкриването на обективната истина в рамките на разследването;
  • вероятността за осигуряването на навременен и ефективен достъп до изискваните данни, ако се използват други средства, които биха причинили по-малко неблагоприятни последици;
  • ако съдебното разпореждане е издадено по искане на чуждестранен орган въз основа на на § 3512 – интересите на чуждия разследващ орган;

Спиране на изпълнението на съдебното разпореждане

Докато производството по обжалването е висящо, доставчикът на услуги е задължен да съхранява, но не и да предостави изискваните данни на компетентния орган, освен ако съдът не прецени, че незабавното предоставяне на информацията е необходимо за предотвратяването на неблагоприятен резултат, посочен в § 2705(a)(2)[22].

Предоставяне на данни от страна на американски доставчик на компетентен орган на друга държава

Съгласно действащия §2703(а) от Stored Communications Act компетентните органи могат да изискват предоставянето от страна на доставчик на услуги на данни за съдържанието[23] на електронни съобщения, които се съхраняват за 180 дни или по-малко, само въз основа на съдебно разпореждане, издадено съобразно федералните наказателнопроцесуални правила от компетентен съд[24].

Съобразно § 2711 (4) под „компетентен орган“ се разбират и компетентните органи на други държави. Това означава, че доставчик на услуги със седалище в САЩ не би могъл да предостави данни за съдържанието по искане на разследващ орган на друга страна дори когато данните се съхраняват извън територията на САЩ, вкл. на територията на тази друга страна.

Това прави цялата процедура за достъп до данни, необходими за целите на наказателното производство, изключително тромава, тъй като всеки път се преминава през подаването на искане за международна правна помощ по наказателни дела и следната ос за действие: разследващият орган на другата държава следва да поиска съдебно разпореждане за предоставянето на данните от своя национален съд, а при положителен резултат разследващият орган следва да изпрати молбата за правна помощ до централния орган съобразно споразумението за правна помощ, напр. Министерството на правосъдието. То следва да изпрати молбата до американското Министерство на правосъдието (Department of Justice), което от своя страна препраща искането до компетентния федерален полицейски орган, който пък изпраща молбата за одобрение до съответния американски съд.

В случай че съдът потвърди разрешаването на предоставянето на данните, федералният полицейски орган следва да представи искането пред доставчика на услуги, който от своя страна би могъл да обжалва разпореждането. В допълнение федералният полицейски орган би могъл да направи преглед на данните и да прецени, че не всички данни следва да бъдат изпратени на молещата страна. Впоследствие информацията следва да бъде предоставена по обратния ред на компетентните органи, които са инициирали процедурата. Статистиката показва, че средно за този процес са необходими година и половина до две.

С оглед подобряването на международното сътрудничество и въз основа на принципа за взаимно доверие между договарящите страни CLOUD Act предвижда доставчик на услуги със седалище в САЩ да има право да предоставя без съдебно разпореждане от американски съд данни за съдържанието на електронни съобщения на компетентен орган на друга държава, определен в сключеното изпълнително споразумение, по смисъла на §2523, когато искането се отнася до данни за лице, което е гражданин на съответната държава или местопребивава в нея. Подобен подход би бил изключително полезен, тъй като ще ускори предоставянето на информацията и ще позволи генерирането на по-висока ефективност при предотвратяването, разкриването и преследването на престъпни деяния.

Важно е да се отбележи, че новият закон не следва да бъде тълкуван по начин, който да преклудира възможността компетентните органи на друга държава да получават електронните доказателства чрез използване на класическите способи за международна правна помощ по наказателни дела. Независимо от CLOUD Act и сключените изпълнителни споразумения, разследващите органи биха могли да прилагат и досега действащите споразумения със САЩ.

Изисквания за сключването на изпълнителни споразумения за достъп до данни от страна на компетентните органи на други държави

Съобразно предписанията на новия закон законосъобразността на изпълнителното споразумение следва да бъде писмено удостоверена пред Конгреса от главния прокурор[25] след съгласуване с държавния секретар[26], като налице трябва да са следните изисквания[27]:

Необходимо е вътрешното право на другата държава да гарантира солидна материално- и процесуалноправна защита на неприкосновеността на личността и гражданските му свободи с оглед събирането на данни и дейностите на изпълнителната власт на тази страна, които са предмет на споразумението. Решението за наличността на този критерий следва да се основава на достоверна информация и извършване на експертна оценка, като трябва да се вземе предвид дали съдоговарящата държава:

  • е страна по Конвенцията за престъпленията в кибернетичното пространство от Будапеща, приета на 23 ноември 2001 г. и влязла в сила на 7 януари 2004 г., или разполага с адекватно материално- и процесуалноправно законодателство в областта на киберпрестъпността и електронните доказателства, което в съответствие с изискванията на глава I и II от Конвенцията;
  • зачита принципите на върховенството на правото и недискриминацията;
  • се придържа към приложимите международни задължения и ангажименти в областта на правата на човека, вкл. защита от произволно и незаконосъобразно нарушаване на личната неприкосновеност, правото на справедлив процес, свободата на изразяване, сдружаване и мирни събрания, забрана за произволен арест и задържане под стража, забрана срещу изтезания и жестоко, нечовешко или унизително отношение или наказание;
  • е възприела прецизни процедури и е натоварила компетентните органи с ясни правомощия с оглед изискването на данни за целите на изпълнителното споразумение, вкл. процедури за събирането, съхраняването, използването и споделянето на данни и за ефективен надзор над тези дейности;
  • разполага с необходимите механизми да осигури отчетност и прозрачност при събирането и използването на електронни доказателства;
  • демонстрира желание за насърчаване и защита на глобалния свободен обмен на информация.

Съдоговарящата страна следва да е приела подходящи процедури за свеждане до минимум на придобиването, съхраняването и разпространяването на информация относно лица, свързани със САЩ, която представлява предмет на споразумението.

То следва да посочва, че с оглед всяка заповед за предоставяне на данни – предмет на споразумението, другата страна не може нарочно да извършва действия, целящи получаването на данни:

  • за лица, свързани със САЩ или лица, намиращи се на територията на САЩ, и следва да приеме процедури, които да гарантират съобразяването с това изискване;
  • за лица, които не са свързани със САЩ и които се намират извън територията на САЩ, ако крайната цел е да се получи информация за лице, свързано със САЩ, или лице, което се намира на територията на САЩ.

Съдоговарящата страна не следва да има право да издава заповед за предоставяне на данни по искане на или за целите на получаването на информация, която да предостави на правителството на САЩ или на трета страна, нито да може да споделя каквато и да е получена информация с правителството на САЩ или с трета страна.

Издадената заповед за предоставяне на електронни доказателства не може да накърнява свободата на словото и следва:

  • да бъде за целите на получаването на информация, свързана с предотвратяването, разкриването, разследването или преследването на тежки престъпления, вкл. тероризъм;
  • да посочва конкретно лице, профил, адрес, устройство или да идентифицира по друг ясен начин предмета на искането за предоставянето на данни;
  • да бъде в съответствие с вътрешното право на тази страна, като всяко задължение за предоставяне на данни от доставчик на електронни съобщителни услуги следва да произтича от това право;
  • да се основава на обосновано предположение и ясни и достоверни факти по отношение на поведението, предмет на наказателното производство;
  • да се постановява или потвърждава от съд или друг независим орган.

В случаите, когато заповедта е за прихващане на електронни съобщения в реално време, тя следва да бъде с фиксирана и ограничена продължителност и да бъде издавана само ако същата информация не може да бъде получена по друг начин. Прихващането не трябва да продължава по-дълго, отколкото е необходимо за изпълнението на целите на заповедта.

Съдоговарящата страна следва незабавно да прегледа всички данни, събрани по силата на споразумението, и да гарантира, че с достъп до тях ще разполагат единствено компетентните органи. Използвайки процедура, която в максимална степен съответства на определението за процедура за свеждане до минимум на информацията съгласно американския закон[28], другата страна следва да заличи и да не разпространява информация, която не е необходима за целите на предотвратяването, разкриването, разследването и преследването на тежки престъпления, вкл. тероризъм, или за предоставяне на защита срещу заплаха за физическата неприкосновеност на дадено лице.

Компетентните органи на съдоговарящата страна не следва да предават на американските власти съдържанието на електронните съобщения на лице, свързано със САЩ, освен ако те не са свързани с наличието на значителна вреда или опасност от настъпването на такава за САЩ или за лице, свързано със САЩ, вкл. с оглед извършването на престъпления срещу националната сигурност (тероризъм, престъпления срещу личността, експлоатация на деца, трансгранична организирана престъпност или измама със значителни финансови последици). Освен това съдоговарящата държава следва да се съгласи на периодично преразглеждане на съответствието на вътрешното ѝ право с изискванията на споразумението.

Влизане в сила на изпълнителното споразумение

Не по-късно от седем дни, след като главният прокурор е удостоверил законосъобразността на изпълнителното споразумение, той следва да уведоми Конгреса за своето решение[29], като му представи и копие от споразумението. Споразумението влиза в сила не по-късно от 180 дни след датата на уведомяването на Конгреса от страна на главния прокурор, освен ако Конгресът не приеме съвместна резолюция за неодобрение[30].

На всеки пет години главният прокурор, съгласувано с държавния секретар, следва да преразгледа решението си за удостоверяване на законосъобразността на споразумението, като може да го поднови[31]. След подновяването той следва да изпрати доклад до компетентните комисии в Камарата на представителите и в Сената, посочвайки:

  • причините за подновяването;
  • съществени изменения в споразумението или националното право на съдоговарящата държава, влезли в сила след сключването му или след предишното подновяване;
  • как споразумението е било приведено в действие и какви проблеми или спорове са възникнали в резултат на сключването му.

Ако главният прокурор не постанови решение за подновяване, то се приема, че споразумението вече не удовлетворява изискванията, посочени в закона. В случай че се премине към изменение на споразумението, CLOUD Act посочва, че всяка ревизия следва да се третира като ново споразумение и следва да бъде предмет на решение за удостоверяване на законосъобразността му от страна на главния прокурор. В този случай ревизираното споразумение влиза в сила, ако в 90-дневен срок Конгресът не приеме съвместната резолюция за неодобрение.

Горепосочената процедура на практика означава, че всяко споразумение се сключва от главния прокурор за срок от пет години и следва да бъде изрично подновено, за да продължи да поражда правен ефект.

Сключване на споразумение с Европейския съюз (или с отделните държави членки)

Дори след приемането на CLOUD Act всеки доставчик на услуги, съхраняващ данни на територията на Европейския съюз, ще бъде в нарушение на европейското право, ако предоставя на американските разследващи органи такива данни единствено въз основа на американско съдебно разпореждане. Това е така, тъй като според Директива 95/46/ЕО и Общия регламент за защита на данните (GDPR), който ще влезе в сила на 25 май 2018 г., всяко решение на съд или административен орган на трета държава, с което от администратор или обработващ лични данни се изисква да предаде или разкрие лични данни, може да подлежи на изпълнение, само ако се основава на международно споразумение, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка (чл. 48 GDPR).

В тази връзка е задължително да се подчертае, че към момента не съществува правен инструмент, който да разрешава на разследващи органи на трета държава да изискват пряко от доставчици на услуги данни, съхранявани на територията на ЕС, без да се преминава през процедурата за изпълнение на молба за правна помощ по наказателноправни въпроси.

Сключването на споразумение между САЩ и ЕС (и/или с държавите членки) с предвидените в CLOUD Act реквизити би могло да представлява решение на проблема и да позволи на компетентните органи от двете страни на океана възможно най-бързо да получават данни за целите на разследването на тежки престъпления, заобикаляйки обичайно изключително тромавото производство за правна помощ по наказателни дела. Подобно споразумение ще представлява и основание за трансфер на данни по смисъла на GDPR, което ще позволи на доставчиците на услуги, осъществяващи стопанска дейност в Европа, да предават законосъобразно данни на американските компетентни органи, когато всички условия по споразумението са изпълнени.

От юридическа гледна точка обаче сключването на споразумение както между САЩ и ЕС, така и между САЩ и отделните държави членки, е особено проблематично.

Сключване на споразумение между САЩ и ЕС

На първо място според CLOUD Act насрещна страна по споразумението може да бъде само “qualifying foreign government”, като самият закон не дава дефиниция на това какво означава “foreign government”, но съобразно установената практика понятието следва да се тълкува еднообразно и според дефиницията, включена в други нормативни актове. Така например в Кодекса на федералните правила (CFR), част 17[32], е посочено, че терминът „чуждестранно правителство“ означава правителството на чужда държава или на политическо подразделение на чужда държава. Последният случай е налице, когато става въпрос за държава с федерален модел на управление, при която отделните административни единици (щати, провинции, лендери) имат висока степен на автономност.

С влизането в сила на Договора за функционирането на Европейския съюз (ДФЕС) и Договора за Европейския съюз през 2009 г. (Лисабонската реформа) ЕС придоби правосубектност. С това Европейският съюз стана субект на международното право, който може да договаря и сключва международни споразумения от свое име, когато разполага с правомощия в съответната област, в която се сключва споразумението, предоставени му по силата на Договорите.

По какъвто и да е начин да квалифицираме Европейския съюз – политически и икономически съюз, международна организация, sui generis (уникална наднационална форма на държавно управление) или дори някаква особена форма на конфедерация, то ще бъде много трудно, да не кажа невъзможно, да го впишем в определението за “foreign government” съгласно американското законодателство. Освен ако в бъдеще американският правоприложител не тълкува нормата силно разширително, излизайки практически от границите на буквалното тълкуване, то следва да се приеме, че CLOUD не позволява споразумението да бъде сключено с ЕС като насрещна страна по него.

Допълнителен аргумент в тази насока представляват изискванията за сключването на изпълнителното споразумение, на които законодателството на „другата държава“ следва да отговаря. Уредбата на тези изисквания е силно детайлизирана, като по отношение на голяма част от тях правилата обичайно са разписани на национално, а не на европейско равнище, особено като се има предвид, че много от тях имат изцяло процесуалноправен характер (напр. изискванията, на които трябва да отговаря заповедта за предоставяне на електронни доказателства).

Друго изискване съгласно CLOUD Act от малко по-различен тип е задължението насрещната страна по споразумението да бъде страна по Конвенцията за престъпленията в кибернетичното пространство от Будапеща или да разполага с адекватно материално- и процесуалноправно законодателство в областта на киберпрестъпността, което е в съответствие с изискванията на глава I и II от Конвенцията. Доколкото преценката за наличие на второто алтернативно условие е доста субективна, а и трудно може да се приеме, че някоя държава членка не разполага с адекватно законодателство в този аспект, то акцент следва да бъде поставен върху първото. В този случай Европейският съюз, макар вече да разполага с правосубектност за сключването на и присъединяването към международни договори, не отговаря на това изискване, доколкото той сам не е страна по нея, макар че всички негови държави членки са я подписали, а всички без Ирландия и Швеция и ратифицирали.

Анализът в своята цялост води до извода, че съгласно американското законодателство и по-конкретно CLOUD Act споразумението за облекчаване на получаването на достъп до данни, които от една страна се съхраняват извън територията на САЩ, а от друга – следва да бъдат предоставени от страна на американски доставчик на услуги, може да бъде сключено единствено между Съединените американски щати и отделна държава членка, но не и с Европейския съюз като самостоятелно действащ субект на международноправната сцена.

Сключване на споразумение между САЩ и държава членка

И ако американското законодателство позволява единствено сключването на споразумение за целите на CLOUD Act между САЩ и отделна държава членка, то правото на Европейския съюз силно ограничава възможностите за този подход.

Съгласно чл. 3, пар. 2 ДФЕС ЕС разполага с изключителна компетентност при сключване на международни споразумения, когато това е предвидено в законодателен акт на Съюза или е необходимо, за да му позволи да упражнява своята вътрешна компетентност. Това означава, че в тези случаи единствено институциите на ЕС биха могли да приемат правнообвързващи актове, като правомощията на държавите членки в тази насока са силно ограничени и те имат право да нормотворят единствено ако са оправомощени за това от самия ЕС или с цел прилагане на актовете на Съюза (чл. 2, пар. 1 ДФЕС)[33].

От друга страна, според чл. 4, пар. 2, б. „й“ ЕС има споделена  с държавите членки компетентност, когато се касае за дейности, отнасящи се до пространството на свобода, сигурност и правосъдие. Доколкото изпълнителното споразумение, което е предвидено в CLOUD Act, касае предоставянето на доказателства за целите на наказателното производство, то представлява международно споразумение в областта на международното сътрудничество по наказателноправни въпроси. По този начин сключването на споразумението попада в обхвата на чл. 4, пар. 2, б. „й“ във връзка с чл. 82 ДФЕС.

В съответствие с чл. 2, пар. 2 ДФЕС при наличие на споделена компетентност държавите членки биха могли да упражняват своите правомощия само доколкото Съюзът не е упражнил своята компетентност[34]. Държавите членки биха могли да го направят само ако ЕС реши да спре да упражнява компетентността си. Този подход гарантира, че в сфери с висок интензитет на значимост държавите членки и ЕС като цяло ще действат еднообразно и ще създадат хармонизирана правна рамка, която ще позволи извършването на действия с максимална степен на ефективност и единодействие[35]. Доколкото Съюзът последователно упражнява своята компетентност за целите на сътрудничеството по наказателноправни въпроси, вкл. с оглед външните измерения на това сътрудничество[36], тази сфера представлява област, в която държавите членки понастоящем нямат право самостоятелно да приемат правнообвързващи актове[37].

Считам, че систематичното тълкуване на чл. 3 и 4 ДФЕС води до извода, че за целите на упражняване на вътрешната компетентност на Съюза в областта на международното сътрудничество по наказателни дела, което ще гарантира единен режим на сътрудничеството със САЩ при обмена и предоставянето на електронни доказателства в рамките на наказателното производство, сключването на споразумението, предвидено в CLOUD Act, е от изключителна компетентност на ЕС.

Това на практика означава, че отделните държави членки нямат право да сключат собствени споразумения със САЩ, освен ако не бъдат изрично оправомощени за това. Тази констатация в известен смисъл блокира сключването на подобно споразумение въобще, доколкото от своя страна американското право не разрешава съдоговаряща страна по него да бъде ЕС като цяло.

Какви са възможните решения?

Не бива да съществува съмнение, че решение на проблема трябва да бъде намерено, доколкото доставчиците на електронни съобщителни услуги не следва да бъдат оставени в „разкрачено“ положение, при което да се налага да избират правото на коя държава да спазват и кое – да нарушават под угрозата да бъдат санкционирани, при това доста тежко особено когато става дума за нарушаване на GDPR[38]. Сключеното споразумение ще представлява основание за трансфер на данни на трета държава по смисъла на чл. 48 GDPR и като такова ще позволи на доставчиците законосъобразно да предават данни при спазване на всички останали условия, предвидени в Регламента и в споразумението.

От друга страна, облекчаването на процедурата за достъп до електронни доказателства, необходими за целите на наказателния процес, когато те следва да бъдат предоставени от американски доставчик на услуги, чрез изключването на необходимостта от изрично признаване на разпореждането на властите на държава членка от американски съд ще допринесе за повишаването на ефективността на разследването на тежки престъпления. В огромния брой случай скоростта на провеждането на процесуално-следствените действия е решаваща и всяко забавяне (например поради необходимостта от преминаване през тежката и ненужно тромава процедура за правна помощ, която отдавна не е съобразена с реалностите на съвременния все по-виртуален свят) може да се окаже пагубно.

Вариант 1: Разширено тълкуване на понятието „foreign government” или изменение на американския закон, което да позволи сключване на споразумение с ЕС

Първият вариант включва в себе си два подварианта, но всеки от тях пряко или не визира хипотезата, в която американската страна приема сключването на споразумението директно с ЕС. Както разширеното тълкуване на понятието „чуждо правителства/държава“, така и последващо изменение на CLOUD Act са като цяло по-малко вероятни. Това е така, тъй като волята на американския законодател в окончателния текст на закона е ясно изразена, доколкото той използва понятие („foreign government“), което не е нетипично за националното законодателство, напротив – използва се и в други правни актове.

Допълнителен аргумент в тази насока е, че както е посочено и по-горе, изискванията за сключването на изпълнителното споразумение са силно детайлизирани, като в рамките на ЕС тяхната уредба обичайно е на национално равнище, което сериозно затруднява сключването на споразумение, което изначално да гарантира, че всички условия на CLOUD Act са изпълнени.

Вариант 2: Сключване на рамково споразумение между ЕС и САЩ по въпросите, свързани с предоставянето на данни от доставчиците на услуги, което да бъде придружено с отделни споразумения между САЩ и държавите членки

Като алтернативен вариант може да разглежда този, при който ЕС и САЩ биха могли да сключат рамково споразумение, което формално да не се основава на CLOUD Act, но което да урежда основните въпроси, свързани с предоставянето на данни от страна на доставчиците на електронни съобщителни услуги със седалище в САЩ, както когато тези данни се изискват от американски компетентни органи, така и от разследващите органи на държава членка.

Тези въпроси биха могли да включват: премахването на необходимостта от американско съдебно разпореждане (преминаване през процедура за правна помощ по наказателни дела), когато компетентен орган на държава членка изпрати заповед за предоставяне на данни до американски доставчик; дефинирането на споразумението като основание за трансфер на данни по смисъла на чл. 48 GDPR, за да може доставчиците законосъобразно да предават електронни доказателства на американските власти и др.

Такъв подход няма да представлява прецедент в отношенията между ЕС и САЩ, касаещи международното сътрудничество по наказателноправни въпроси. През 2003 г. между Съюза и САЩ е подписано споразумение за екстрадиция[39], което урежда основните въпроси, свързани с приложното поле, териториалния, материалния и времевия обхват, предаването на документи, временното задържане, транзита, влизането в сила и др. Съгласно чл. 18 от Споразумението то не представлява пречка за сключването след влизането му в сила и на двустранни споразумения между държава членка и Съединените американски щати, доколкото те са съобразени с правилата на това споразумение и не му противоречат.

Въпреки че споразумението за екстрадиция е сключено преди влизането в сила на Договора за функционирането на Европейския съюз[40], считам, че от юридическа гледна точка моделът на чл. 18 може да се приеме за вариант за оправомощаване на държавите членки по смисъла на чл. 2, пар. 1 ДФЕС да сключат двустранно споразумение в областта на международното сътрудничество по наказателни дела с ясно дефиниран предмет.

Разпоредбите на това споразумение биха могли единствено да допълнят и доразвият текста на рамковото споразумение, но не и да му противоречат. Следователно би могло с висока степен на сигурност да се направи извод, че подобен подход е напълно приложим и по отношение на споразумението, предвидено в CLOUD Act.

Споразумението между САЩ и ЕС ще гарантира създаването на хармонизиран режим на територията на целия Европейски съюз по отношение на сътрудничеството с американските доставчици на услуги и премахването на необходимостта от преминаване през процедура за правна помощ при предоставянето на електронни доказателства в рамките на наказателния процес, а двустранните споразумения ще удовлетворят изискванията на CLOUD Act, които пък обикновено се уреждат не на европейско, а на национално равнище.

                                               Автор: Богдан Млъчков

star

Редакционният екип си запазва правото да не публикува мнения, противоречащи на морала и етиката.
Всеки има право на отговор!
R.S.V.P.

[1] Clarifying Lawful Overseas Use of Data Act (CLOUD Act): https://www.congress.gov/bill/115th-congress/house-bill/1625/text?q=%7B%22search%22%3A%5B%22consolidated+appropriations+act%22%5D%7D&r=3 (Division V);

[2] https://www.law.cornell.edu/uscode/text/18/part-I/chapter-121;

[3] https://www.congress.gov/bill/114th-congress/senate-bill/512/text;

[4] https://www.congress.gov/bill/114th-congress/senate-bill/2986/text;

[5] Съгласно съдебната заповед Microsoft следва да предостави  съдържанието на всички e-mail-и, изпратени и получени чрез този профил; информация за титуляря на профила (адрес, имена, телефонен номер, продължителност на използването на профила, време и час на влизане в профила, IP-адрес, от който профилът е употребяван, използвани услуги, банкова и платежна информация и др.); информация за лицата, с които титулярят на профила е комуникирал;

[6] §2703(d) Stored Communications Act – Изисквания за съдебното разпореждане;

[7] Вж. повече – Млъчков, Б.: „Достъп на компетентните органи на трета държава до данни, които се съхраняват на територията на Европейския съюз – съответствие с разпоредбите за защита на личните данни на европейско равнище (делото „Microsoft (Ireland) пред Върховния съд на САЩ”) – https://gramada.org/%d0%b4%d0%be%d1%81%d1%82%d1%8a%d0%bf-%d0%bd%d0%b0-%d0%ba%d0%be%d0%bc%d0%bf%d0%b5%d1%82%d0%b5%d0%bd%d1%82%d0%bd%d0%b8%d1%82%d0%b5-%d0%be%d1%80%d0%b3%d0%b0%d0%bd%d0%b8-%d0%bd%d0%b0-%d1%82%d1%80%d0%b5/;

[8] Любопитно е, особено в контекста на последвалите събития, че в отговора си до Върховния съд Microsoft отбелязва, че разширяването на приложното поле на федерален закон следва да се извърши от Конгреса, не от съдилищата. Компанията намира, че ако Конгресът желае да оправомощи разследващите органи да получават посредством съдебно разпореждане данни от съобщения, съхранявани извън територията на САЩ,  той може да го направи, посочвайки изрично предпоставките за това.

[9] В допълнение следва да се отбележи, че понякога доставчиците на услуги информират компетентните разследващи органи, че не разполагат с информация за конкретното местоположение на изискваните данни поради динамиката на процесите в кибернетичното пространство и постоянния обмен и прехвърляне на информация.

[10] Повече за концепцията за юрисдикцията в международното право – Вж. Ryngaert C. (професор по международно право, Университета в Утрехт) – The Concept of Jurisdiction in International Law (https://unijuris.sites.uu.nl/wp-content/uploads/sites/9/2014/12/The-Concept-of-Jurisdiction-in-International-Law.pdf);

[11] Корените на категорията „суверенитет” могат да бъдат намерени във Вестфалския мирен договор от 1648 г., чрез който за първи път се обособява ролята на държавата като субект на международната политика. Един от принципите, на които се основава мирният договор, е, че следва да се признае суверенитета, който всяка държава притежава над своите земи, гражданите и представителите си в чужбина.

[12] Този принцип за функциониране на юрисдикцията се различава в сравнение с юрисдикцията в родово-общинния строй, когато извършваните действия са попадали в приложното поле на закона поради принадлежността на извършителя към дадена общност, а не с оглед съществуването на връзка с определена територия.

[13] Така например съгласно чл. 4, ал. 1 от Наказателния кодекс на Република България той се прилага към българските граждани и за извършените от тях престъпления в чужбина, а съгласно чл. 5 и към чужденци, извършили в чужбина престъпления от общ характер, с които се засягат интересите на Република България или на български гражданин. Според проф. Рингаерт това по-либерално тълкуване отразява еволюцията на международното право като инструмент за сътрудничество между отделните държави вместо просто като гарант за мирното им съвместно съществуване.

[14] Вж. например Конвенцията за престъпленията в кибернетичното пространство от Будапеща (чл. 22, пар. 1), която установява териториалността като основен принцип за определяне на юрисдикцията.

[15] Допълнителен аргумент в тази насока е, че местоположението на данните, т.е. сървърът, на който те се съхраняват, би могло да бъде променяно непрестанно, дори чрез автоматични способи, което би възпрепятствало по необратим начин предотвратяването, разкриването и разследването на престъпления.

[16] Такъв например е случаят с нацисткия военнопрестъпник Адолф Айхман, офицер от Гестапо и един от главните организатори на Холокоста. През 1960 г. той тайно е заловен в Аржентина от израелските тайни служби, без съгласието на аржентинските власти, обвинен е за извършване на престъпления срещу евреите и човечеството и е осъден на смърт.

[17] Още по-далеч отива белгийският Върховен съд във второто си решение по делото “Yahoo” (4 септември 2012 г.), като узаконява правото на прокуратурата да изисква предаването на данни от страна на компанията без преминаване през процедура за правна помощ по наказателни дела, само поради факта, че Yahoo предоставя услуги на територията на Белгия, въпреки че няма официално представителство в страната. Не по-малко забележително е първото решение по делото от 18 януари 2011 г., съгласно което Yahoo е квалифициран като доставчик на електронни съобщителни услуги, въпреки че буквалното тълкуване на закона води до извода, че такива са единствено интернет доставчиците. Върховният съд приема, че „всеки, който предлага услуга, която включва възможност за потребителите да получават или изпращат информация чрез електронна съобщителна мрежа, представлява доставчик на електронни съобщителни услуги.“ Този извод е безпрецедентен, тъй като той спокойно вече може да се приложи към компании като Facebook, Twitter, Skype, Gmail, Hotmail и др.

[18] Друг е въпросът, че доставчикът на услуги теоретично може да предпочете да плаща глоби вместо да предоставя данните на своите клиенти. Това ще представлява удобен изход от ситуацията, доколкото нежеланието за сътрудничество с разследващите органи често бива рекламирано от страна на доставчиците. По този начин те привличат допълнителни клиенти и финансови приходи, които „избиват“ разходите по плащането на глобата, освен ако тя, разбира се, не е в твърде висок размер.

[19] Съгласно новопредложените дефиниции в §2523 „лице, свързано със САЩ“ означава гражданин на САЩ, чужденец с право на постоянно пребиваване, неперсонифицирано дружество, съществена част от членовете на които са граждани на САЩ или чужденци с право на постоянно пребиваване, както и юридическо лице, което е регистрирано в САЩ.

[20] На английски е използван термина „qualifying foreign government”. Считам, че с оглед осигуряването на прецизност на български следва да се говори не за сключване на споразумение с правителство, а с „друга държава“. Този подход е по-удачен, доколкото по-нататък американският закон изброява изисквания, на които правото на “qualifying foreign government” следва да отговаря, а очевидно в случая според родната юридическа лексика не може да се използва „правото на чуждестранно правителство“.

[21] § 3512. Молби за правна помощ по наказателноправни въпроси;

[22] Застрашаване на живота или безопасността на дадено лице; избягване на правосъдие; унищожаване или подправяне на доказателства; заплашване на свидетел; съществено възпрепятстване на провеждането на разследването по друг начин или незаконосъобразно забавяне на наказателното производство;

[23] Съгласно практиката на някои доставчици на услуги, напр. Facebook, в данните за съдържанието освен съдържанието на изпратените съобщения се включват и други данни като данните за часа на изпращането на съобщение, както и името на изпращача и на получателя, тъй като тази информация се съхранява в единен масив.

[24] Според § 2711 (3) компетентен съд е всеки окръжен или апелативен съд на Съединените щати, който:

  • разполага с подсъдност по отношение на престъплението, за което се води разследването;
  • се намира в окръга, в който е седалището на доставчика на услуги или в който се съхраняват данните; или
  • разглежда молба за правна помощ съобразно §3512;

[25] Според американската конституционноправна система главният прокурор е и министър на правосъдието;

[26] Еквивалент в европейските държави е министърът на външните работи;

[27] Решението не подлежи на съдебен или друг вид надзор;

[28] Раздел 101 – Foreign Intelligence Surveillance Act от 1978. Съгласно дефиницията процедурите следва да гарантират, че при използването на специални разузнавателни средства придобиването и съхраняването на информация, която няма публичен характер, се свеждат до минимум, като се забранява нейното по-нататъшно разпространение. Подобна информация не следва да бъде използвана по начин, който разкрива самоличността на лице, свързано със САЩ, без съгласието на това лице, освен ако самоличността на лицето не е необходима, за да се установи значението на получените данни в тяхната цялост.

[29] Съгласно закона информация следва задължително да се предостави на комисията по съдебната власт и комисията по външни отношения в Сената и на комисията по съдебната власт и комисията по външни работи в Камарата на представителите;

[30] Резолюцията следва да се приеме от всяка от камарите на американския Парламент. Съвместната резолюция може да бъде внесена от лидера на мнозинството или малцинството в Камарата на представителите или Сената при съобразяване със 180-дневния срок.

[31] Решението за удостоверяване на законосъобразността на споразумението, както и всяко решение за подновяване, се публикуват във Федералния регистър (официален вестник на Съединените американски щати);

[32] https://www.law.cornell.edu/cfr/text/17/240.3b-4;

[33] Повече за компетентността на ЕС вж. Костов, С. Компетентността на Европейския съюз и прилагането на правото на ЕС от националните съдилища  – http://www.stanislavkostov.eu/Download/books/1/Kompetentnostta%20na%20ES.pdf;

[34] Според проф. Жан-Дени Мутон (вж. „Записки по право на Европейския съюз“ (стр. 216) -http://www.eubg.eu/upload/files/813970538_%D0%9B%D0%B5%D0%BA%D1%86%D0%B8%D0%B8%20%D0%BF%D0%BE%20%D0%9F%D1%80%D0%B0%D0%B2%D0%BE%20%D0%BD%D0%B0%20%D0%95%D0%A1%20-%20%D1%82%D0%BE%D0%BC%201.pdf) при споделената компетентност държавите членки запазват суверенна власт да уреждат отношенията в тези материи, без, за разлика от областите на изключителна компетентност, да е необходимо предварително разрешение от страна на Съюза. Държавите членки са свободни да уреждат отношенията в съответната проблематика,  доколкото и в степента в която ЕС не е упражнил компетентност в тази област. Това обаче същевременно означава, че фактически в хода на упражняване на компетентност от страна на ЕС, тези области са в процес на преминаване в режим на изключителна компетентност.

[35] Противното ще доведе до създаването на фрагментирани правни режими, което ще накърни ефикасността на действията, които се предприемат както от държавите членки, така и от ЕС, в различни сфери, особено като се има предвид, че с отварянето на европейските пазари и чрез въвеждането на принципа за свободно движение на хора, стоки, услуги и капитали границите загубиха своята значимост и отношенията без трансграничен елемент намаляват все повече и повече.

[36] Споразумение за правна взаимопомощ между Европейския съюз и Съединените американски щати (http://eur-lex.europa.eu/legal-content/BG/TXT/?uri=celex:22003A0719(02)); Споразумение между Европейския Съюз и Япония за правна взаимопомощ по Наказателноправни въпроси (https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX%3A22010A0212%2801%29);

[37] Допълнителна сигурност по отношение на този извод гарантират и публикуваните от Европейската комисия на 17 април 2018 г. предложения за Регламент относно европейските заповеди за предоставяне и запазване на електронни доказателства по наказателноправни въпроси и Директива относно установяването на хармонизирани правила за определянето на законен представител за целите на събирането на доказателства в наказателния процес, които целят подобряването на трансграничния достъп до електронни доказателства от страна на компетентните органи на държавите членки. Директивата ще установи правила за определянето на законен представител на доставчиците на услуги на територията на Съюза, а Регламентът ще създаде правен режим, съгласно който разследващите и съдебните органи на държава членка ще могат да изпращат заповеди за предоставяне и запазване на данни директно до доставчика на услуги.

[38] Съгласно чл. 83, пар. 4 и 5 GDPR имуществените санкции за нарушаване на задълженията по Регламента от страна на администраторите и обработващите данни могат да достигнат до 20 млн. евро или в случай на предприятие — до 4 % от  общия  му годишен световен оборот за предходната  финансова  година (по-голямата от двете суми).

[39] https://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:22003A0719(01)&from=EN;

[40] 1 декември 2009 г.

Подобни статии

art-251Достъп на компетентните органи на трета държава до данни, които се съхраняват на територията на Европейския съюз – съответствие с разпоредбите за защита на личните данни на европейско равнище (делото „Microsoft (Ireland) пред Върховния съд на САЩ”) режим-лихва-застраховка-гражданска-отговорностПО НЯКОИ ВЪПРОСИ ЗА ДАНЪЧНАТА ОТГОВОРНОСТ ВЪЗ ОСНОВА НА ДАННИ ЗА УКРИТИ ПРИХОДИ И ДОХОДИ В ПРАКТИКАТА НА ВАС art-245ПЛАНЪТ ЗА ВЪЗСТАНОВЯВАНЕ НА БАНКА справедливосттаПравна закрила на видеоигрите гражданска имуществена санкцияДоговори за предоставяне на безплатен достъп до пространства и ресурси с търговска цел