Достъп на компетентните органи на трета държава до данни, които се съхраняват на територията на Европейския съюз – съответствие с разпоредбите за защита на личните данни на европейско равнище (делото „Microsoft (Ireland) пред Върховния съд на САЩ”)

Личните данни, които се обработват от доставчик на комуникационни услуги с оглед предоставянето на подобна услуга на европейските потребители и които се съхраняват на сървъри на територията на Европейския съюз, представляват предмет на уредба в правните инструменти за защита на данните на европейско равнище, вкл. чл. 7 и 8 от Хартата за основните права, както и от вътрешното право на съответната държава членка, в която се намира сървърът.

Нито Директива 95/46/ЕО, която понастоящем урежда тези въпроси, нито Регламент (ЕС) 2016/679 (Общ регламент за защита на данните – GDPR), който ще замени Директивата от 25 май 2018 г., предоставят възможност за директно разкриване на лични данни, събрани за бизнес цели, по искане на компетентните власти на трета държава. Чл. 48 от Общия регламент подчертава, че всяко решение на съд, трибунал или на административен орган за предоставяне на лични данни може да бъде признато и изпълнено, само ако има за свое правно основание международен договор (напр. договор за правна помощ) между запитващата трета държава и съответната държава членка[1]. Американска съдебна заповед, задължаваща Microsoft да предостави определени данни на американските власти, без да се следва реда по споразуменията за правна помощ, не представлява валидно правно основание за трансфер на данни съгласно европейското право.

Делото „Microsoft” (Ирландия)

На 4 декември 2013 г. съдия Джеймс Франсис от Южния окръжен съд на Ню Йорк издава разпореждане, което разрешава извършването на претърсване и изземване на информация от e-mail акаунт на Microsoft. Всички данни за съдържанието на изпратените съобщения от този профил се съхраняват на сървър в Дъблин, Ирландия, като само част от останалите данни, които не включват съдържание на комуникация, са съхранявани на територията на САЩ[2]. Информацията, която Microsoft следва да предостави съобразно съдебната заповед, е следната:

Съдържание на всички e-mail-и, изпратени и получени чрез този профил;
Информация за титуляря на профила (адрес, имена, телефонен номер, продължителност на използването на профила, време и час на влизане в профила, IP-адрес, от който профилът е употребяван, използвани услуги, банкова и платежна информация и др.) (потребителски данни);
Информация за лицата, с които титулярят на профила е комуникирал[3];

Microsoft предоставя потребителските данни, които се съхраняват на територията на САЩ, но не и съдържанието на съобщенията, които се намират на ирландския сървър. Компанията оспорва съдебното разпореждане, тъй като счита, че американският съд не разполага с компетентност да постанови извършването на претърсване и изземване извън територията на САЩ. През 2014 г. Южният окръжен съд отхвърля искането на Microsoft, но на 14 юли 2016 г. апелативният съд на втори съдебен окръг отсъжда в полза на компанията[4] и отменя разпореждането. На 16 октомври 2017 г. Върховният съд приема делото за разглеждане по искане на американските власти[5].

Правно основание съгласно американското право

Съдебното разпореждане е издадено въз основа на Stored Communications Act (SCA) като част от Закона за неприкосновеност на електронните съобщения от 1986 г. Този закон позволява на изпълнителната власт да поиска от съд предоставянето от страна на доставчик на услуги на почти всички данни, с които този доставчик разполага по отношение на конкретен потребител при наличие на обосновано предположение, че тези данни са от значение за разкриването на обективната истина по съответното дело. SCA не посочва изрично[6], че разпоредбите му се прилагат и екстериториално[7]. В тази връзка Microsoft оспорва, че американският съд не разполага с юрисдикция по отношение на данни, които се съхраняват в Ирландия. Този аргумент се подкрепя и от федералните наказателнопроцесуални правила, съгласно които федерален съд не може да постанови изземването на имущество, което се намира извън територията на САЩ.

Съобразно юриспруденцията на Върховния съд на САЩ американското законодателство следва да бъде тълкувано по начин, който предотвратява стълкновения с международното право (“Charming Betsy Principle”) (6 U.S. 64, 118 (1804). Съгласно този принцип: „Акт на Конгреса не следва да бъде тълкуван по начин, който нарушава международното право (law of nations), ако друго тълкуване е възможно.“ (Вж. също Weinberger v Rossi 456 U.S. 25, 32). Тълкуването на американския закон по начин, позволяващ на американските власти да изземват информация без помощ от страна на ирландското правителство, представлява злоупотреба с право, заобикаляне на приложението на споразумението за взаимна правна помощ и грубо накърняване на суверенитета на Република Ирландия и Европейския съюз, чиито правила установяват ред за законосъобразното изземване на подобна информация. В допълнение този подход би принудил компаниите със седалище в САЩ да нарушават правото на приемащата държава, а Ирландия би рискувала нарушаване на чл. 4, пар. 3 ДЕС за неизпълнение на задълженията, произтичащи от правото на ЕС, а именно – гарантиране, че обработването на данни се извършва единствено в съответствие с приложимото европейско законодателство.

В първото съдебно решение обаче съдия Франсис намира, че разпореждането („warrant”) в този случай представлява амалгама между призовка и съдебна заповед за изземване, а при призовката местоположението на данните, които са под контрола на задълженото лице, не е релевантно, дори те да се намират извън територията на САЩ. Подобно становище безспорно пренебрегва основополагащия принцип за тълкуване на правните норми, съгласно който понятията се разбират съобразно общоприетото им значение, което в случая на термина „съдебна заповед за претърсване и изземване“ е неоспоримо. Освен това разследването следва да зачита суверенитета на другите държави, а задължаването на доставчик на услуги да предаде данни, които се намират на територията на чужда държава, представлява мярка на държавна принуда, която би могла да бъде осъществена единствено от държавата, на територията на която се съхраняват данните. Противното би било нарушение на международното право с оглед спазването на принципа за приложимата юрисдикция.

В решението си от 14 юли 2016 г. апелативният съд на втори съдебен окръг постановява, че разпоредбите на Stored Communications Act от 1986 г. не се прилагат екстериториално, като отхвърля и становището, че разпореждането представлява хибрид между призовка и съдебна заповед. Съдът намира, че призовката и заповедта представляват различни правни институти. SCA признава тази разлика и използва понятието „съдебна заповед“, приемайки необходимостта от осигуряването на по-високо равнище на защита на съобщения, съхранени извън територията на САЩ, доколкото призовката може да се ползва и за сдобиването с подобна информация, стига тя да е притежание на задълженото лице.

Дори обаче теоретично да може да се приеме, че става въпрос за хибрид – настоящият казус не касае документи или други вещи, собственост на Microsoft, а лична кореспонденция, която е предмет на защита, както в американското, така и в европейското право. Според съда SCA следва да гарантира неприкосновеността на потребителя и поради тази причина законът не оправомощава американски съд да постанови разпореждане спрямо доставчик на услуги със седалище в САЩ по отношение на данни, които се съхраняват на сървър извън територията на САЩ.

Неприкосновеност и защита на данните според европейското право

Според чл. 7 от Хартата на основните права на Европейския съюз („Хартата“) „всеки има право на зачитане на неговия личен и семеен живот, на неговото жилище и тайната на неговите съобщения“, а в съответствие с чл. 16 от Договора за функциониране на Европейския съюз (ДФЕС) и чл. 8 от Хартата всеки има право на защита на личните му данни.

В съответствие с това разбиране всяка мярка, свързана с обработване на данни, следва да се разглежда като ограничаване на основните права на засегнатото лице[8]. Съгласно чл. 52, пар. 1 от Хартата „всяко ограничаване на упражняването на правата и свободите, признати от настоящата Харта, трябва да бъде предвидено в закон и да зачита основното съдържание на същите права и свободи. При спазване на принципа на пропорционалност ограничения могат да бъдат налагани, само ако са необходими и ако действително отговарят на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора“.

Освен това държавите членки са задължени да наложат допълнителни гаранции по отношение на поверителността на електронните съобщения, произтичащи от чл. 4-6 на Директива 2002/58/ЕО относно обработването на лични данни и за защитата на неприкосновеността на електронните съобщения (E-Privacy), въпреки че тя разрешава и въвеждането на изключения, доколкото те представляват необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира националната сигурност, отбраната, обществената безопасност и за целите на предотвратяването, разследването, разкриването и преследването на престъпления (чл. 15, пар. 1).

По отношение на казуса „Microsoft” Общият регламент за защита на данните е приложим по следните причини:

Регламентът (съображение 22) предвижда, че всякакъв вид обработване на лични данни в контекста на дейностите на мястото на установяване на администратор или на обработващ лични данни в Съюза следва да се извършва в съответствие с настоящия регламент, независимо от това дали самото обработване се извършва в рамките на Съюза. Microsoft има място на стопанска дейност в няколко държави членки, като изискваните данни се съхраняват на сървъри в Ирландия, а услугите на Microsoft се предлагат на физически и юридически лица в рамките на Съюза;
Според чл. 3, пар. 2, б. „а“ Регламентът се прилага за обработването на лични данни на субекти, които се намират на територията на Съюза, от администратор или обработващ лични данни, който няма седалище в Съюза, когато дейностите по обработването са свързани с предлагането на стоки или услуги;
Информацията, която следва да бъде предоставена от компанията, представлява лични данни съгласно чл. 4, пар. 1 от Регламента^[9];
Регламентът следва да се прилага за обработването на данни на физически лица, независимо от тяхното гражданство или местопребиваване (съображение 14);
Информацията се обработва чрез автоматични способи, тъй като се съхранява в компютърна база данни, т.е. попада в обхвата на чл. 2, пар. 1 от Регламента^[10];
Посочените дейности не попадат в изключенията от обхвата, предвидени в чл. 2, пар. 2 от Регламента^[11].

Трансфер на данни на трета държава или международна организация

Трансферът на лични данни на трети държави или международни организации, какъвто е настоящият случай, следва да се извършва при съобразяване с разпоредбите на Глава V от Регламента. Съгласно чл. 44 трансферът на данни на трета държава се осъществява, ако са спазени всички останали разпоредби на Регламента и ако администраторът и обработващият данни спазват условията, предвидени в Глава V, вкл. с оглед последващи трансфери от третата държава към друга трета държава или международна организация.

На 12 юли 2016 г. Европейската комисия приема Решение относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (“Privacy Shield)[12]. То позволява трансфера на данни от администратори и обработващи данни, които имат място на стопанска дейност в рамките на ЕС, към компании в САЩ, които са се съгласили да приемат и изпълняват правилата на Щита за личните данни, за търговски цели. Щитът заменя Решението на Комисията от 26 юли 2000 г. (“Safe Harbour”), което е отменено от Съда на Европейския съюз на 6 октомври 2015 г. в рамките на делото „Шремс“ (C-362/14)[13], тъй като нарушава изискванията на чл. 25, пар. 6 от Директива 95/46/ЕО[14], тълкувани в светлината на чл. 7, 8 и 9 от Хартата.

Щитът обаче не създава правно основание за извършване на трансфер на данни за цел, която е несъвместима с първоначалната, за която данните са събрани. В случая данните са събрани за целите на използването на e-mail профил, докато целта на съдебното разпореждане за претърсване и изземване е напълно различна. Предоставянето на американските компетентни органи на тези данни за целите на провеждането на наказателно производство би могло да бъде извършено само при наличието на специално правно основание.

Съгласно чл. 23 от Регламента чрез законодателна мярка правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, може да ограничи обхвата на задълженията и правата, предвидени в членове 5, 12—22 и 34 от Регламента, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява ясна, необходима и пропорционална мярка с цел да се гарантира предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност. Тази разпоредба е в съответствие с чл. 52, пар. 1 от Хартата и конкретизира нейното съдържание.

В допълнение чл. 48[15] посочва, че всяко решение на съд, трибунал или административен орган на трета държава, с което от администратор или обработващ лични данни се изисква да предаде или разкрие лични данни, могат да бъдат признати или да подлежат на изпълнение по какъвто и да било начин, само ако се основават на международно споразумение като договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка, без да се засягат другите основания за предаване на данни съгласно настоящата глава.

Дерогация на това правило за извършването на трансфер на данни в настоящия случай би могла да бъде възможна само „поради важни причини от обществен интерес“ (чл. 49, пар. 1, б. „д“ от Регламента), като този интерес следва да бъдат признат в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора (чл. 49, пар. 4 от Регламента, съображение 115). Доколкото става въпрос за изключително чувствителна материя като защитата на личните данни и неприкосновеността на комуникацията в частност, посочените разпоредби следва да се тълкуват стриктно.

Към момента не съществува правен инструмент, който да разрешава на разследващи органи на трета държава да изискват пряко от доставчици на услуги данни, съхранявани на територията на ЕС, съответно изключението по чл. 49, пар. 1, б. „д“ не е приложимо. Според становището на Работната група по чл. 29[16] „само важен обществен интерес, посочен като такъв от националното законодателство, приложимо към администратора на данни, или от правото на ЕС, ще представлява валидно правно основание. Всяко друго тълкуване би улеснило компетентните органи на третата държава в заобикалянето на изискванията за адекватна защита на личните данни.“ Освен това подобно тълкуване напълно ще обезмисли правния ефект на чл. 48.

Предвид горепосоченото, американско съдебно разпореждане, което задължава Microsoft да предостави данни, които се съхраняват на сървър на територията на държава членка, заобикаляйки европейските правила за защита на данните и споразуменията за взаимна правна помощ по наказателни дела, няма правна сила съгласно европейското, а и съгласно американското, право. Подобен подход от страна на американските разследващи органи би означавал, че всеки, който ползва cloud-базирани услуги от компании под юрисдикцията на американските съдилища, т.е. всички компании със седалище в САЩ, ще бъде поставен под постоянен риск от нарушаване на неприкосновеността на неговата комуникация. По този начин ще се подкопае режимът на защита на данните, изграден последователно в рамките на ЕС с оглед гарантирането на основните права на гражданите.

Автор: Богдан Млъчков

Редакционният екип си запазва правото да не публикува мнения, противоречащи на морала и етиката.

Всеки има право на отговор!

R.S.V.P.

[1] В светлината на делото „Microsoft” Съединените американски щати (САЩ) има сключени договори за правна помощ с ЕС (http://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:22003A0719(02)&from=EN) и с Ирландия (https://www.state.gov/documents/organization/129536.pdf), които предвиждат инструменти за провеждане на разследване с трансграничен елемент, вкл. събирането на доказателства. Споразумението за правна помощ между САЩ и Ирландия е инкорпорирано в ирландското вътрешно законодателство в Закона за взаимна правна помощ по наказателни дела от 2008 г., част 7.

[2] Местоположението на сървъра, на който се съхраняват съответните данни, се определя в съответствие с информация за местоживеенето на потребителя, която се предоставя от него, когато той за първи път активира новия профил. По този начин например съдържанието на съобщенията на потребители в Европа се съхраняват в Европа, а на потребители в САЩ – в САЩ. Това позволява на Microsoft постоянно да подобрява качеството на услугите си, тъй като скоростта на интернет връзката зависи от разстоянието, което данните изминават до сървъра.

^[3] На практика американските власти приемат, че споразумението за взаимна правна помощ не представлява достатъчно ефективен способ за получаване на данните, необходимите за целите на наказателния процес. Това обаче не би могло да оправдае заобикалянето на предвидената процедура. В тази връзка следва да се отбележи, че съгласно показанията на Майкъл Макдоуъл, бивш министър на правосъдието, дадени пред американския окръжен съд, Ирландия рядко отказва изпълнението на молби за правна помощ по споразумението, като до този момент не са идентифицирани и проблеми с оглед функционирането на процедурата.

[4] https://www.justice.gov/archives/opa/blog-entry/file/937006/download;

^[5] Очаква се Върховният съд да постанови окончателно решение по делото през м. юни 2018 г.;

[6] Microsoft посочва, че презумпцията срещу екстериториалното приложение на закона гарантира, че съдилищата няма да го прилагат по начин, който може да доведе до нежелани стълкновения между американския закон и законите на другите държави (Aramco 499 U.S.).

^[7] В отговора си до Върховния съд Microsoft отбелязва, че ревизията на федералния закон с оглед разширяването на приложното му поле следва да се извърши от Конгреса, не от съдилищата. В случай че Конгресът желае да оправомощи разследващите органи да получават посредством съдебна заповед данни от съобщения, съхранявани извън територията на САЩ, той може да го направи, като изрично посочи предпоставките за това: например ако засегнатото лице понастоящем местопребивава в САЩ; ако проведената комуникация може да се използва за целите на доказването на извършени тежки престъпления; ако с държавата по съхраняването на данните няма сключен договор за правна помощ и др. В тази връзка на 6 февруари 2018 г. в Конгреса на САЩ е внесен Законопроект за изменение на Stored Communication Act (Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Законопроектът оправомощава разследващите органи да изискват от доставчици под американска юрисдикция данни, дори те да се съхраняват извън територията на страната. Освен това той определя изисквания, въз основа на които САЩ би могъл да сключи споразумения с други страни, които да позволяват американски доставчици да предоставят данни за съдържанието, без да е необходимо изпращането на молба за правна помощ. В допълнение законопроектът въвежда възможност за доставчиците да поискат от американски съд да отмени разпореждане, издадено за данни, съхранени в чужбина, ако тези данни са свързани с лица, което не е американски гражданин и ако изпълнението на разпореждането би ги принудило да нарушат законодателството на другата страна, с която САЩ има сключено споразумение.

^[8] Юриспруденцията на Съда на Европейския съюз е последователна по този въпрос: Schwarz, C‑291/12 от 17 октомври 2013 г. (пар. 25); С-293/12 и С-594/12 (Digital Rights Ireland) от 8 април 2014 г. (пар. 34-36); Становище 1/15 от 26 юли 2017 г. (PNR) (пар. 122-126);.

Освен това тази теза се застъпва и в редица становища на Европейския надзорен орган по защита на данните, напр. Становище по предложението за Регламент за създаване на централизирана система за идентифициране на държавите членки, притежаващи информация за предишни осъждания на граждани на трети страни и лица без гражданство, и на Директива за изменение на Рамково решение 2009/315/ПВР oт 12 декември 2017 г. (параграф 14) (https://edps.europa.eu/sites/edp/files/publication/2017_0542_draft_opinion_ecris_tcn_revab_en.pdf);

Считам тази теза за ненапълно приемлива, тъй като тя подлага чл. 7 и 8 от Хартата и чл. 16 ДФЕС на прекалено разширително тълкуване. Концепцията за обработването на данни включва в себе си идеята за създаване по силата на закона на някаква форма на доверие между субекта на данните и обработващия данни. Абсолютизирането на тезата, че всяко обработване на данни представлява ограничаване на основните права, пренебрегва един от основните общи правни принципи: „Комуто ползите, нему и вредите“. Вярно е, че при обработването на данни теоретично винаги е възможна злоупотреба, но е също така вярно, че в голям брой случаи обработването на данни носи някакви ползи на субекта на данните, а често обработването и се инициира именно от него.

Поради тази причина тезата за обработването на данни като ограничаване на основните права на лицето следва да бъде много по-балансирана. В нейните рамки следва да се отчетат няколко фактора: целите, за които данните са събрани, и целите, за които те се ползват (напр. в случаите, в които данните се ползват за целите на наказателно производство, има много по-висок интензитет на накърняване на личната сфера); ползите, които се генерират за субекта на данни вследствие на извършеното обработване; евентуалния риск от извършване на незаконосъобразни действия при обработването и последиците (вкл. вреди и пропуснати ползи), които биха могли да настъпят от тези действия; потенциално несъразмерно облагодетелстване на обработващия данните и др.

[9] Чл. 4 (1) Лични данни“ означава всяка информация, свързана с определено физическо лице или определяемо физическо лице („субект на данни“); определяемо лице е лице, което може да бъде определено, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

[10] Чл. 2, пар. 1: „Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични способи…“

^[11] Чл. 2, пар. 2: „Настоящият регламент не се прилага за обработването на лични данни: a) в хода на дейности, които са извън приложното поле на правото на Съюза; б) от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от ДЕС; в) от физическо лице, когато извършва лични или домашни занимания; г) от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.“

[12] https://www.cpdp.bg/userfiles/file/Transfers/Privacy_Shield_Adequacy_Decision_Bg.pdf;

^[13]http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130de13c698e7dde542fbbdc9a47eadd2ca68.e34KaxiLc3eQc40LaxqMbN4Pb34Ke0?text=&docid=169195&pageIndex=0&doclang=BG&mode=lst&dir=&occ=first&part=1&cid=57321;

[14] Съдът приема, че Решението на Комисията не гарантира достатъчна степен на защита на данните, които се прехвърлят на сървъри в Съединените щати, с оглед предаването, обработването и съхраняването им.

^[15] Изключително значение с оглед правилното тълкуване на чл. 48 има съображение 115: „

Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите членки. Това може да включва решения на съдилища или административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни, и които не се основават на международно споразумение, например договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка. Екстериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Трансферите на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или в правото на държава членка, на което е подчинен администраторът.“

^[16] Работната група по чл.29 е създадена въз основа на чл.29 Директива 95/46/EО. Работната група действа независимо и има консултативни функции. В състава на Работната група влизат представители на надзорните органи на всяка държава членка, представител/и на органа/органите по надзор на институциите на ЕС и представител на Европейската комисия.

Мандатът на Работната група включва разглеждане на всеки въпрос, отнасящ се до прилагането на националните мерки, приети съгласно Директива 95/46/EC, с цел да допринесе за еднаквото прилагане на тези мерки; предоставяне на Европейската комисия на становище относно степента на защита в Съюза и в трети страни и др.