Європейський суд з прав людини. Справа "CENTRUM FÖR RÄTTVISA ПРОТИ ШВЕЦІЇ"
ТРЕТЯ СЕКЦІЯ
(Заява № 35252/08)
РІШЕННЯ
СТРАСБУРГ
19 червня 2018
Направлення до Великої палати
04/02/2019
Це рішення набуде статус остаточного за обставин, наведених у статті 44 § 2 Конвенції. До нього можуть бути внесені редакційні зміни.
У справі “Centrum för rättvisa проти Швеції”,
Європейський Суд з прав людини (Третя секція), розглядаючи справу Палатою у складі:
Бранко Лубарда, головуючий,
Хелена Ядерблом,
Хелен Келлер,
Пере Пастор Віланова,
Алена Полачкова,
Георгіос А. Сегідес,
Джолієн Шуккінг, судді,
а також Стівен Філіпс, секретар секції,
провівши 29 травня 2018 року слухання за зачиненими дверима,
проголошує наступне рішення, яке було прийнято у той же день:
ПРОЦЕДУРА
1. Дану справу розпочато за заявою (№ 35252/08) проти Королівства Швеції, яку подала до Суду відповідно до статті 34 Конвенції про захист прав людини та основних свобод (надалі “Конвенція”) організація Centrum för rättvisa 14 липня 2008 року.
2. Уряд Швеції (надалі “Уряд”) представляв його Упровноважений, пан A. Рьонквіст, з Міністерства зовнішніх справ.
3. Заявник стверджував, що законодавство та практика Швеції у галузі радіоелектронної розвідки порушило та продовжувало порушувати його права за статтею 8 Конвенції. Він також скаржився на те, що не мав ефективного національного засобу правового захисту для оскарження цього порушення.
4. 1 листопада 2011 року (щодо прийнятності) та 14 жовтня 2014 року (щодо прийнятності та суті) Уряду було повідомлено про заяву.
5. 14 жовтня 2014 року Міжнародній комісії юристів, Норвезької секції, було дозволено надати письмові зауваження, відповідно до правила 44 § 3 Регламенту Суду.
ФАКТИ
I. ВСТУП
6. Заявник, Centrum för rättvisa, це шведський фонд, який був створений у 2002 році та розташований у Стокгольмі. Це неприбуткова організація, її заявленою метою є представлення у судових процесах проти держави та інших процесах клієнтів, які стверджують, що їхні права та свободи відповідно до Конвенції та законодавства Швеції були порушені. Вона також здійснює освіту та дослідження і приймає участь у загальних дебатах щодо питань, які стосуються прав та свобод осіб. Заявник щоденно спілкується з особами, організаціями та компаніями у Швеції та за кордоном за допомогою електронної пошти, телефону та факсу, і стверджує, що значна частина цих розмов є делікатною з точки зору приватності. Через характер її праці в якості неурядової організації, яка контролює діяльність державних органів, організація вважає, що існує ризик, що її спілкування за допомогою мобільного телефону та мобільного широкополосного зв’язку перехоплювалося або буде перехоплюватися та розглядатися радіоелектронною розвідкою. Заявник не порушив провадження на національному рівні, стверджуючи, що немає ефективних національних засобів правового захисту щодо його скарг за Конвенцією.
7. Радіоелектронну розвідку можна визначити, як перехоплення, обробку, аналіз та передання даних з електронних сигналів. Ці сигнали можуть оброблятися у вигляді тексту, зображень та звуку. Дані, зібрані за допомогою цих процедур, можуть стосуватися як змісту розмови, так і асоційованих комунікаційних даних (даны, які описують, наприклад, як, коли та між якими електронними адресами здійснюється спілкування). Дані можуть бути перехоплені в радіоефірі – зазвичай, за допомогою радіозв’язку та супутників – і з кабелів. Те, чи передається сигнал через радіоефір або кабелі, контролюють провайдери комунікаційних послуг. Переважна більшість трафіку, який стосується радіоелектронних даних, передається за допомогою кабелів. Термін “носії сигналу” стосується засобу, який використовується для передання одного або декількох сигналів. Якщо це не вказано у подальшому, регулювання шведської радіоелектронної розвідки не робить різниці між змістом розмов та їхніми комунікаційними даними або між трафіком з ефіру або з кабелів.
II. ВІДПОВІДНЕ НАЦІОНАЛЬНЕ ЗАКОНОДАВСТВО ТА ПРАКТИКА
A. Загальне законодавство про радіоелектронну розвідку
8. Відповідно до Закону про зовнішню розвідку (Lagen om försvarsunderrättelseverksamhet; 2000:130), зовнішня розвідка здійснюється у підтримку шведської зовнішньої політики, а також політики безпеки та оборони, і для виявлення зовнішніх загроз для країни. Діяльність також повинна допомагати участи Швеції у міжнародній співпраці для безпеки. Відповідно до Закону, розвідка може здійснюватися лише стосовно зовнішніх обставин (стаття 1(1)). Уряд визначає напрямок діяльності; він також вирішує, які органи можуть видавати більш детальні директиви і який орган повинен здійснювати розвідувальні заходи (статті 1(2) і 1(3)). Уряд видає загальні директиви щорічно. Зовнішня розвідка не може здійснюватися для цілей вирішення завдань у галузі правоохоронної діяльності або запобігання злочинності, що підпадає під мандат Поліцейського управління, поліції безпеки та інших органів, і регулюється іншим законодавством. Однак, органи, які здійснюють зовнішню розвідку, можуть підтримувати органи, які здійснюють правоохоронну діяльність або діяльність із запобігання злочинності (стаття 4). Прикладами такої підтримки є криптоаналіз та технічна допомога з інформаційної безпеки (підготовчі роботи до змін до законодавства про зовнішню розвідку, видання 2006/07:63, с. 136).
9. Збирання електронних сигналів є однією з форм зовнішньої розвідки. Воно регулюється Законом про радіоелектронну розвідку (Lagen om signalspaning i försvarsunderrättelseverksamhet; 2008:717), який набув сили 1 січня 2009 року. До закону були внесені декілька змін 1 грудня 2009 року, 1 січня 2013 року, 1 січня 2015 року і 15 липня 2016 року. Додаткові положення містяться п Указі про радіоелектронну розвідку (Förordningen om signalspaning i försvarsunderrättelseverksamhet; 2008:923). Законодавство уповноважує Національну оборонну радіостанцію (Försvarets radioanstalt; надалі “НОР”) здійснювати радіоелектронну розвідку (стаття 2 Указу у порівнянні зі статтею 1 Закону). Упродовж радіоелектронної розвідки усі закордонні кабельні комунікації передаються у певні точки для збирання. У цих точках не зберігається жодна інформація, і обмежений обсяг трафіку даних передається до НОР через носії сигналів (Доповідь парламентського комітету SOU 2016:45, с. 107) НОР може проводити радіоелектронну розвідку в межах зовнішньої розвідки лише внаслідок детальної робочої директиви, виданої Урядом, урядовими управліннями, збройними силами, та, з січня 2013 року, поліцією безпеки та Національним оперативним управлінням поліції (Nationella operativa avdelningen i Polismyndigheten; надалі “НОУП”) (статті 1(1) і 4(1) Закону) відповідно до точних розвідувальних вимог. Однак, напрямок “розвитку” НОР (див. пункт 14 нижче) може визначати лише Уряд (стаття 4(2)). Детальна робоча директива визначає напрямок розвідувальної діяльності і може стосуватися певного явища або ситуації, але її ціллю не може бути конкретна фізична особа (стаття 4(3)).
10. Мандат поліції безпеки та НОУП щодо видання детальних робочих директив спрямований на поліпшення здатності цих органів отримувати дані про зовнішні обставини на стратегічному рівні стосовно міжнародного тероризму та інших тяжких міжнародних злочинів, які можуть загрожувати ключовим національним інтересам. На час введення нових правил Уряд стверджував у підготовчих текстах (видання 2011/12:179, с. 19), що мандат здійснюється згідно з забороною проведення радіоелектронної розвідки для вирішення завдань в області правоохоронної діяльності та запобігання злочинності.
11. Відповідно до Указу про зовнішню розвідку (Förordningen om försvarsunderrättelseverksamhet; 2000:131), детальна робоча директива повинна включати інформацію про 1) орган, який видав директиву, 2) частину щорічної директиви Уряду, якої це стосується, 3) явище або ситуацію, яку охоплюватиме розвідка, та 4) необхідність розвідки щодо цього явища або ситуації (section 2a).
B. Обсяг застосування радіоелектронної розвідки
12. Цілі, для яких електронні сигнали можуть збиратися в рамках зовнішньої розвідки, наводяться у Законі про радіоелектронну розвідку, який передбачає, що дані з сигналів можуть збиратися лише для оцінки 1) зовнішніх військових загроз для країни, 2) умов для участі Швеції у міжнародних миротворчих діях чи гуманітарних місіях, або загрози інтересам Швеції при здійсненні таких дій, 3) стратегічних обставин, які стосуються міжнародного тероризму або інших серйозних міжнародних злочинів, які можуть загрожувати ключовим національним інтересам, 4) розвитку та розповсюдження зброї масового знищення, військового обладнання та інших аналогічних продуктів, 5) тяжких зовнішніх загроз інфраструктурі суспільства, 6) зовнішніх конфліктів з наслідками для міжнародної безпеки, 7) зовнішніх розвідувальних операцій проти інтересів Швеції, та 8) дій або намірів іноземної влади, які є важливими для зовнішньої політики Швеції, її політики безпеки та оборони (стаття 1(2)).
13. Ці вісім цілей розкриті більш детально у підготовчому тексті до законодавства (видання 2008/09:201, с. 108-109):
“Цілі, для яких можуть бути надані дозволи на проведення радіоелектронної розвідки, перелічені у восьми пунктах. Перший пункт стосується зовнішніх військових загроз для країни. До військових загроз належать не тільки безпосередні загрози, такі як загрози вторгнення, але також явища, які в довгостроковій перспективі можуть перерости у загрози безпеці. Отже, формулювання охоплює обстеження військових можливостей та потужностей.
Другий пункт включає як дослідження, необхідні для забезпечення адекватної основи для прийняття рішення про участь у міжнародних миротворчих або гуманітарних місіях, так і дослідження, що проводяться під час поточних місій щодо загроз шведському військовому персоналу чи інших шведських інтересів.
Третій пункт стосується стратегічного дослідження міжнародного тероризму чи інших серйозних транскордонних злочинів, таких як торгівля наркотиками чи людьми такого ступеня тяжкості, що це може загрожувати значним національним інтересам. Завдання радіоелектронної розвідки стосовно такої діяльності полягає в дослідженні діяльності з точки зору зовнішньої політики та політики безпеки; розвідка, необхідна для оперативної боротьби зі злочинною діяльністю, є головним завданням поліції.
Четвертий пункт стосується необхідності використання радіоелектронної розвідки для здійснення, серед іншого, діяльності, яка стосується зобов'язань Швеції щодо нерозповсюдження та контролю експорту, навіть у тих випадках, коли ця діяльність не є злочином та не суперечить міжнародним конвенціям.
П'ятий пункт включає, серед іншого, серйозні загрози, пов'язані з ІТ, що виходять із-за кордону. Те, що загрози повинні мати серйозний характер, означає, що вони, наприклад, повинні бути спрямовані на життєво важливі суспільні системи енерго- та водопостачання, зв'язку чи грошових послуг.
Шостий пункт стосується дослідження таких конфліктів в інших країнах та між ними, які можуть мати наслідки для міжнародної безпеки. Це може стосуватися регулярних актів війни між державами, а також внутрішніх або транскордонних конфліктів між різними етнічними, релігійними чи політичними групами. Дослідження конфліктів включає вивчення їх причин та наслідків.
Сьомий пункт означає, що розвідувальна діяльність, що ведеться проти шведських інтересів, може бути перевірена за допомогою радіоелектронної розвідки.
Восьмий пункт надає можливість проводити радіоелектронну розвідку проти іноземних держав та їх представників з метою вивчення їхніх намірів або дій, що мають істотне значення для зовнішньої політики, політики безпеки та оборони Швеції.. Така діяльність може стосуватися лише тих осіб, які представляють іноземну державу. Через умову «істотна важливість» підкреслюється, що недостатньо того, щоб явище представляло загальний інтерес, розвідка повинна мати безпосередній вплив на дії або позиції Швеції у різних питаннях зовнішньої політики, політики безпеки та оборони. ...”
14. НОР може також збирати електронні сигнали для моніторингу змін у міжнародному сигнальному середовищі, технічних досягненнях та захисті сигналів, і для розвитку технології, необхідної для радіоелектронної розвідки (стаття 1(3)). Це вважається “діяльністю розвитку” і, згідно з відповідними підготовчими текстами (видання 2006/07:63, с. 72), така діяльність не створює жодних розвідувальних протоколів. Однак, НОР може розділити отриманий досвід щодо розвитку технології з іншими органами. Діяльність розвитку зазвичай не фокусується на розмовах між фізичними особами, хоча інформація про особистість учасників розмов може перехоплюватися.
15. Радіоелектронна розвідка, яка здійснюється за допомогою кабелів, може стосуватися лише сигналів, які перетинають кордон Швеції за кабелями, які належать провайдеру комунікаційних послуг (стаття 2). Комунікації між відправником та одержувачем у межах Швеції не можуть перехоплюватися, незалежно від того, чи здійснюються вони в ефірі або за допомогою кабелів. Якщо такі сигнали неможливо відокремити у пункті зібрання, їх записи або нотатки щодо них необхідно знищити, як тільки стане очевидно, що такі сигнали були зібрані (стаття 2a).
16. Перехоплення кабельних сигналів є автоматизованим і повинно стосуватися лише сигналів, які були ідентифіковані завдяки використанню умов пошуку. Такі умови також використовуються для ідентифікації сигналів з ефіру, якщо процедура є автоматизованою. Умови пошуку повинні бути сформульовані так, щоб втручання у персональну недоторканність якомога сильніше обмежувалося. Умови, які безпосередньо стосуються конкретної фізичної особи, можуть використовуватися, лише якщо це надзвичайно важливо для діяльності розвідки (стаття 3).
17. Після того, як сигнали були перехоплені, вони обробляються, що означає, що вони, наприклад, підлягають криптоаналізу або перекладу. Тоді інформація аналізується та передається органу, який дав НОР місію щодо збирання даних.
C. Дозвіл на радіоелектронну розвідку
18. Для здійснення усіх видів радіоелектронної розвідки, у тому числі діяльності з розвитку, НОР повинна звернутися за дозволом до Суду зовнішньої розвідки (Försvarsunderrättelsedomstolen). Звернення повинно містити запит на місію, який отримана НОР, з інформацією про відповідну детальну робочу директиву та необхідність отримання даних. Також повинні бути вказані носії сигналів, доступ до яких прагне отримати НОР, і умови пошуку або категорії умов пошуку, які будуть використані. Нарешті, у заяві повинна зазначатися тривалість запитаного дозволу (стаття 4a).
19. Дозвіл може бути наданий, лише якщо місія відповідає положенням Закону про зовнішню розвідку та Закону про радіоелектронну розвідку, якщо мети перехоплення сигналів не можна досягнути без зайвих втручань, якщо можна очікувати, що місія надасть інформацію, цінність якої перевищує тяжкість можливого втручання в особисту недоторканність, якщо умови пошуку або категорії умов пошуку відповідають Закону про радіоелектронну розвідку і якщо заява не стосується лише конкретної фізичної особи (стаття 5).
20. Якщо дозвіл дається, у ньому повинна вказуватися місія, для якої може здійснюватися радіоелектронна розвідка, носії сигналів, до яких НОР має доступ, умови пошуку або категорії умов пошуку, які можуть бути використані, тривалість дозволу та інші умови, необхідні для обмеження втручання в особисту недоторканність (стаття 5a).
21. НОР може самостійно вирішити дати дозвіл, якщо звернення за дозволом до Суду зовнішньої розвідки може спричинити затримку або інші незручності ключової важливості для однієї з конкретних цілей радіоелектронної розвідки. Якщо НОР надає дозвіл, вона повинна терміново доповісти суду, і суд має без затримки прийняти рішення з цього питання. Суд може відкликати або змінити дозвіл (стаття 5b).
22. Склад Суду зовнішньої розвідки та його діяльність визначається Законом про Суд зовнішньої розвідки (Lagen om Försvarsunderrättelsedomstol; 2009:966). Суд складається з одного голови, одного або двох заступників голови та від двох до шести інших членів. Голова є постійним суддею, якого номінує Комісія з питань призначення суддів (Domarnämnden) і призначає Уряд. Заступники голови, які повинні мати юридичну підготовку та попередній досвід у якості суддів, й інші члени, які повинні мати спеціальний досвід, що стосується праці суду, призначаються Урядом на чотирирічний строк. Заяви щодо дозволу на радіоелектронну розвідку обговорюються на слуханнях, які можуть проводитися за зачиненими дверима, якщо очевидно, що інформація, класифікована як таємна, на відкритому слуханні буде оприлюднена. Упродовж судового розгляду присутні представники НОР, і представник захисту приватності (integritesskyddsombud). Представник, який представляє не конкретну особу, а інтереси осіб у цілому, контролює питання недоторканності й має доступ до матеріалів справи, і може робити твердження. Представників захисту приватності призначає Уряд на чотирирічний строк, і вони повинні бути постійними суддями або адвокатами (або обіймати такі посади у минулому). Суд може провести слухання та прийняти рішення за заявою за відсутності представника, лише якщо справа є настільки невідкладною, що затримка значно пошкодить меті заяви. Рішення суду є остаточними.
D. Тривалість перехоплення сигналів
23. Дозвіл дається на конкретний період, не більше шести місяців. Цей період можна продовжити після нового розгляду, на шість місяців за раз (Закон про радіоелектронну розвідку, стаття 5a).
E. Процедури зберігання, доступу, розгляду, використання та знищення перехоплених даних
24. Інспекція зовнішньої розвідки (Statens inspektion för försvarsunderrättelseverksamheten (ІЗР); див. пункти 36-40 нижче) контролює доступ до носіїв сигналів. Провайдери комунікаційних послуг зобов’язані передавати кабельні сигнали, які перетинають кордони Швеції, до “пунктів співпраці”, узгоджених з Інспекцією. Інспекція, у свою чергу, забезпечує НОР доступ до носіїв сигналів у тій мірі, в якій цей доступ охоплюється дозволом про перехоплення сигналів, і при цьому втілює дозволи, видані Судом зовнішньої розвідки (Розділ 6, стаття 19a Закону про електронні комунікації (Lagen om elektronisk kommunikation; 2003:389)). Рада з питань законодавства (Lagrådet), орган, який надає висновки про певні законопроекти за запитом Уряду або парламентського комітету, висловила погляд про те, що втручання у приватне життя та кореспонденцію на цьому етапі з’являється саме по собі, оскільки держава отримує доступ до телекомунікацій (видання 2006/07:63, c. 172).
25. Відповідно до Закону про радіоелектронну розвідку, НОР повинна негайно знищити перехоплені дані, якщо вони 1) стосуються конкретної фізичної особи та не є важливими для розвідки, 2) захищені конституційними положеннями про таємницю для захисту анонімних авторів та медіа-джерел, 3) містять інформацію, якою діляться між собою підозрюваний та його адвокат, і яку захищає привілей адвоката та клієнта, або 4) містять інформацію, дану у релігійному контексті каяття або персональної поради, окрім випадків, коли існують виняткові підстави для розгляду такої інформації (стаття 7).
26. Якщо були перехоплені комунікації між відправником та одержувачем, які знаходяться у Швеції, незважаючи на заборону такого перехоплення, їх необхідно знищити, як тільки внутрішній характер комунікацій стане очевидним (стаття 2a).
27. Якщо дозвіл, терміново наданий НОР (див. пункт 21 вище) відкликає або змінює Суд зовнішньої розвідки, усі зібрані дані, на які більше не поширюється дозвіл, повинні бути негайно знищені (стаття 5b(3)).
28. Закон про обробку персональних даних НОР (Lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet; 2007:259) містить положення про обробку персональних даних у галузі радіоелектронної розвідки. Закон набув сили 1 липня 2007 року, до нього були внесені зміни 30 червня 2009 року та 15 лютого 2010 року. Мета Закону полягала у захисті від порушень особистої недоторканності (Розділ 1, стаття 2). НОР повинна забезпечити, зокрема, щоб персональні дані збиралися лише для конкретних чітко визначених та обґрунтованих цілей. Такі цілі або визначаються напрямком зовнішньої розвідувальної діяльності за допомогою детальної робочої директиви, або тим, що є необхідним для внесення змін до сигнального середовища, технічного розвитку та захисту сигналів. Також, оброблені персональні дані повинні бути належними та стосуватися мети обробки. Не можна обробляти більше персональних даних, ніж це необхідно для цієї цілі. Необхідно прикласти усі розумні зусилля для виправлення, блокування та видалення персональних даних, які є неправильними або неповними (розділ 1, статті 6, 8 і 9).
29. Персональні дані не можуть оброблятися лише через те, що відомо про расу або етнічне походження особи, її політичні, релігійні або філософські погляди, членство у спілці, стан здоров’я або сексуальне життя. Однак, якщо персональні дані обробляються з іншою метою, така інформація може бути використана, якщо вона є абсолютно необхідною. Інформація про фізичну зовнішність особи повинна завжди бути сформульована об’єктивно, з повагою до людської гідності. Пошук даних може використовувати такі персональні показники в якості умов пошуку, лише якщо це є абсолютно необхідним для цілей пошуку (Розділ 1, стаття 11).
30. Працівники НОР, які обробляють персональні дані, проходять офіційну процедуру перевірки безпеки та підлягають конфіденційності стосовно даних, до яких застосовується таємниця. Вони можуть підлягати кримінальним санкціям, якщо завдання, які стосуються обробки персональних даних, будуть виконані недобросовісно (Розділ 6, стаття 2).
31. Персональні дані, які підлягали автоматичній обробці, повинні бути знищені, як тільки в них більше не буде необхідності (Розділ 6, стаття 1).
32. Подальші положення про обробку персональних даних наведені в Указі про обробку персональних даних НОР (Förordningen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet; 2007:261). Він передбачає, зокрема, що НОР може зберігати бази даних з необробленими матеріалами, які містять персональні дані. Ці матеріали є необробленою інформацією, яка була зібрана за допомогою автоматичної процедури. Персональні дані у таких базах даних повинні бути знищені упродовж одного року з дати їх зібрання (стаття 2).
F. Умови для передання перехоплених даних третім сторонам
33. Зібрані дані необхідно передавати відповідним органам, як це визначено відповідно до Закону про зовнішню розвідку (Закон про радіоелектронну розвідку, стаття 8; див. пункт 8-9 вище).
34. Урядові управління, збройні сили, поліція безпеки, НОУП, Інспекція стратегічних продуктів (Inspektionen för strategiska produkter), Управління оборонних матеріалів (Försvarets materialverk), Агентство оборонних досліджень (Totalförsvarets forskningsinstitut), Агентство з питань цивільних надзвичайних ситуацій (Myndigheten för samhällsskydd och beredskap) і шведська митна служба (Tullverket) можуть мати прямий доступ до заповнених протоколів розвідки у тій мірі, в якій про це прийме рішення НОР (стаття 9 Указу про обробку персональних даних НОР). Однак, поки що НОР не прийняла жодного рішення, яке б давало прямий доступ.
35. Персональні дані можуть бути передані іншим державам або міжнародним організаціям, лише якщо цьому не заважає таємниця і якщо це необхідно для виконання НОР своїх обов’язків у рамках міжнародної співпраці для безпеки та оборони. Уряд може прийняти правила або вирішити у конкретній справі дозволити таке передання даних в інших справах, якщо це необхідно для діяльності НОР (Розділ 1, стаття 17 Закону про захист персональних даних НОР). НОР може розкрити персональні дані іноземному органу або міжнародній організації, якщо це буде корисним для уряду Швеції (statsledningen) або всеосяжної стратегії захисту Швеції (totalförsvaret); передана у такий спосіб інформація не повинна шкодити інтересам Швеції (стаття 7 Указу про обробку персональних даних НОР).
G. Нагляд за радіоелектронною розвідкою
36. Закон про зовнішню розвідку (стаття 5) та Закон про радіоелектронну розвідку (стаття 10) передбачають, що орган влади повинен контролювати діяльність зовнішньої розвідки у Швеції та переконуватися, що діяльність НОР відповідає положенням Закону про радіоелектронну розвідку. Контрольний орган – Інспекція зовнішньої розвідки – серед іншого, зобов’язаний контролювати втілення Закону про зовнішню розвідку та асоційованого Указу і переглядати, чи здійснюються заходи зовнішньої розвідки згідно з застосовними директивами (стаття 4 Указу про інструкції інспекції зовнішньої розвідки (Förordningen med instruktion för Statens inspektion för försvarsunderrättelseverksamheten; 2009:969)). Він повинен також переглядати дотримання Закону про радіоелектронну розвідку шляхом розгляду, зокрема, використаних умов пошуку, знищення даних та передання протоколів; якщо інспекція виявляє, що конкретний масив даних не відповідає дозволу, Інспекція може прийняти рішення, що захід розвідки необхідно припинити, або що дані необхідно знищити (стаття 10 Закону про радіоелектронну розвідку). НОР повинна доповісти Інспекції про умови пошуку, які безпосередньо стосуються конкретної фізичної особи (стаття 3 Указу про радіоелектронну розвідку).
37. Інспекцію зовнішньої розвідки очолює рада, членів якої призначає Уряд принаймні на чотирирічний строк. Голова та заступник голови повинні бути постійними суддями (або обіймати цю посаду у минулому). Інші члени обираються з кандидатів, запропонованих партійними групами у Парламенті (стаття 10 (3) Закону про радіоелектронну розвідку).
38. Будь-які думки або пропозиції щодо заходів, які випливають з перевірок Інспекції, повинні передаватися до НОР, і, за необхідністю, до Уряду. Інспекція також надає щорічні звіти Уряду про свої перевірки (стаття 5 Указу про інструкції Інспекції зовнішньої розвідки), які оприлюднюються. Крім того, якщо Інспекція помічає потенційні злочини, вона повинна доповідати про це прокуратурі (Åklagarmyndigheten), і, якщо будуть виявлені такі недоліки, які можуть призвести до відповідальності за заподіяння шкоди державі, повинна буде надати звіт канцлеру юстиції (Justitiekanslern). Звіт може також бути наданий органу з захисту даних (Datainspektionen), який є контрольним органом з питань обробки даних НОР (стаття 15).
39. З момента створення Інспекції у 2009 році до 2017 року, останнього, який охоплюють щорічні доповіді, жодна перевірка не виявила підстави для припинення збирання даних або для знищення результатів. У той же період Інспекція видала декілька думок та пропозицій для НОР і одну для Уряду. У щорічних доповідях були дані короткі описи 102 перевірок, проведених у НОР; до них входили численні детальні огляди використаних умов пошуку, опису даних, передання звітів, обробку персональних даних та загального дотримання законодавства, директив та дозволів, які стосуються діяльності радіоелектронної розвідки. Наприклад, перевірка у 2014 році стосувалася загального перегляду співпраці НОР з іншими державами та міжнародними організаціями у питаннях розвідки. Вона не призвела до видання жодної думки або пропозиції для НОР. У 2017 році Інспекція провела детальну перевірку обробки НОР персональних даних. Перевірка стосувалася обробки делікатних персональних даних у зв’язку зі стратегічними обставинами стосовно міжнародного тероризму та інших тяжких транскордонних злочинів, які загрожували значним національним інтересам. Перевірка не призвела до видання жодної думки або пропозиції. Однак, у той рік Уряду була дана одна думка після перевірки того, чи здійснювалися розвідувальні заходи НОР у рамках наданої директиви. У 2009-2017 роки Інспекція виявила підстави для видання звіту іншому органу – Управлінню захисту даних – один раз, стосовно тлумачення правового положення. У своїх щорічних звітах Інспекція зауважила, що отримала доступ до будь-якої інформації, необхідної для перевірок.
40. Контрольна діяльність Інспекції зовнішньої розвідки пройшла аудит Державної аудиторської служби (Riksrevisionen), органа, підпорядкованого Парламенту. У звіті, опублікованому у 2015 році, аудиторська служба зауважила, що НОР мала усталені процедури для обробки висновків Інспекції, і що контроль допомагав розвинути діяльність НОР. Пропозиції розглядалися серйозно, і коли це було доречно, призводили до реформ. У той же час аудиторська служба розкритикувала відсутність документації Інспекції про перевірки і відсутність чітко визначених цілей перевірок.
41. У рамках НОР існує Рада з захисту даних, до завдань якої входить вжиття заходів для забезпечення захисту особистої недоторканності. Членів Ради призначає Уряд. Рада повідомляє про свої зауваження керівництву НОР, або, якщо Рада вбачає підстави для цього, Інспекції (стаття 11 Закону про радіоелектронну розвідку).
42. Подальші положення про нагляд можна знайти у Законі про обробку персональних даних НОР. НОР призначає одного або декілька працівників з захисту даних та повідомляє Управління захисту даних про призначення (Розділ 4, стаття 1). Працівник, який відповідає за захист даних, здійснює незалежний моніторинг того, що НОР вважає персональними даними, у законний та правильний спосіб, і відмічає усі відхилення. Якщо є підозра в існуванні відхилень, і не здійснюється жодне виправлення, про це надається звіт Управлінню захисту даних (Розділ 4, стаття 2).
43. Управління захисту даних, яке є органом, підпорядкованим Уряду, за запитом має доступ до персональних даних, які обробляються НОР, і документації про обробку персональних даних разом з заходами безпеки, вжитими у цьому стосунку, а також доступ до приміщень, де обробляються персональні дані (Розділ 5, стаття 2). Якщо Управління визнає, що персональні дані обробляються або могли бути оброблені незаконно, воно намагатиметься виправити ситуацію шляхом передання своїх зауважень НОР (Розділ 5, стаття 3). Воно також може звернутися до Адміністративного суду (förvaltningsrätten) у Стокгольмі для знищення персональних даних, отриманих у незаконний спосіб (Розділ 5, стаття 4).
H. Повідомлення про заходи таємного спостереження
44. Якщо були використані умови пошуку, які стосувалися конкретної фізичної особи, НОР повинна проінформувати цю особу, відповідно до Закону про радіоелектронну розвідку. Повідомлення повинно містити інформацію про дату та мету заходу. Таке повідомлення повинно бути надане, як тільки це можна буде зробити без завдання шкоди діяльності зовнішньої розвідки, але не пізніше, ніж через місяць після закінчення місії радіоелектронної розвідки (стаття 11a).
45. Однак, повідомлення може надаватися із затримкою, якщо цього вимагає таємниця, зокрема, таємниця оборони або таємниця для захисту міжнародних стосунків. Якщо, у зв’язку з інтересами таємниці, повідомлення не було надане упродовж року після закінчення місії, особу можна не інформувати. Крім того, повідомлення не повинно надаватися, якщо заходи стосуються лише умов зовнішньої влади або стосунків між зовнішніми владами (стаття 11b).
I. Засоби правового захисту
46. Закон про радіоелектронну розвідку передбачає, що Інспекція зовнішньої розвідки за запитом особи повинна провести розслідування того, чи перехоплювалися комунікації цієї особи за допомогою радіоелектронної розвідки, і якщо так, перевірити, чи відповідали закону перехоплення та обробка інформації. Інспекція повинна проінформувати особу про те, що таке розслідування було проведено (стаття 10a). Фізичні та юридичні особи можуть зробити запит незалежно від національності та місця проживання. У 2010-2017 роках були оброблені 132 запити, в жодному з них не був встановлений незаконний характер перехоплення. У 2017 році були оброблені 10 таких запитів; у 2016 – 14. Рішення Інспекції після запиту є остаточним.
47. Відповідно до Закону про захист персональних даних НОР, НОР також повинна видавати інформацію за запитом. Один раз на календарний рік особа може звернутися за інформацією про те, чи підлягають або підлягали обробці її персональні дані. Якщо так, Нор повинна вказати, яка інформація про особу оброблялася, звідкіля вона була зібрана, яка була мета обробки, і яким одержувачам або категоріям одержувачів така інформація передавалася. Інформація зазвичай надається упродовж одного місяця після подання запиту (Розділ 2, стаття 1). Однак, це право на інформацію не застосовується, якщо інформація захищена таємницею (Розділ 2, стаття 3).
48. Після запиту від особи, персональні дані якої були зареєстровані, НОР повинна оперативно виправити, заблокувати або знищити такі дані, які не були оброблені відповідно до закону. НОР також повинна проінформувати будь-яку третю сторону, якщо цього вимагає особа або якщо таке повідомлення допоможе запобігти значної шкоди або незручності. Таке повідомлення не надається, якщо його неможливо надати, або якщо воно супроводжуватиметься непропорційними зусиллями (Розділ 2, стаття 4).
49. Рішення НОР про розкриття та виправлення персональних даних можна оскаржити в Адміністративному суді у Стокгольмі (Розділ 6, стаття 3).
50. Держава несе відповідальність за шкоду, заподіяну порушенням особистої недоторканності в результаті обробки персональних даних у порушення Закону про обробку персональних даних НОР (Розділ 2, стаття 5). Запит щодо відшкодування шкоди надається канцлеру юстиції.
51. Окрім цих засобів правового захисту,викладених у законодавстві, яке стосується радіоелектронної розвідки, законодавство Швеції передбачає низку інших засобів контролю та механізмів оскарження. парламентський омбудсмен (Justititeombudsmannen) контролює застосування законів та положень у державній діяльності; суди та органи влади зобов’язані надавати інформацію та висновки за запитами омбудсмена (Розділ 13, стаття 6 Документу Уряду – Regeringsformen), у тому числі доступ до протоколів та інших документів. Омбудсмен повинен забезпечити, зокрема, щоб суди та органи влади дотримувалися положень Документу Уряду про об’єктивність та неупередженість, і щоб основні права та свободи громадян не підлягали посяганням у державній діяльності (стаття 3 Закону про інструкції парламентського омбудсмена – Lagen med instruktion för Riksdagens ombudsmän; 1986:765). Нагляд, якому підлягають Суд зовнішньої розвідки та НОР, здійснюється за допомогою розгляду скарг від громадськості та за допомогою перевірок та інших розслідувань (стаття 5). Розгляд закінчується рішенням, у якому надається висновок омбудсмена про те, чи порушив суд або орган влади закон, або вжив інший недоречний захід. Цей висновок не має обов’язкової сили; Омбудсмен може також порушити кримінальні або дисциплінарні провадження проти державної посадової особи, яка вчинила кримінальне правопорушення або нехтувала своїм обов’язком та зобов’язаннями посади (стаття 6).
52. З мандатом, аналогічним повноваженням Парламентського омбудсмена, канцлер юстиції контролює, чи виконують посадові особи у державній адміністрації вимоги законів та положень, і чи виконують вони свої інші обов’язки (стаття 1 Закону про контроль канцлера юстиції – Lagen om justitiekanslerns tillsyn; 1975:1339). Канцлер робить це шляхом розгляду індивідуальних скарг або здійснення перевірок та інших розслідувань, які можуть бути спрямовані, наприклад, на Суд зовнішньої розвідки та НОР. За запитом канцлера суди та органи влади зобов’язані надавати інформацію та висновки, а також доступ до протоколів та інших документів (статті 9 і 10). Рішення канцлера юстиції за характером аналогічні рішенням парламентського омбудсмена, що включає відсутність юридично обов’язкової сили. Однак, по традиції, рекомендації канцлера та омбудсмена користуються великою повагою у шведському суспільстві і зазвичай виконуються (див. Segerstedt-Wiberg and Others v. Sweden, № 62332/00, § 118, ECHR 2006-VII). Канцлер, як і Омбудсмен, має повноваження порушувати кримінальні або дисциплінарні провадження (статті 5 і 6).
53. Канцлер юстиції також уповноважений розглядати скарги та позови щодо відшкодування шкоди, спрямовані проти держави, у тому числі вимоги щодо відшкодування за заявлені порушення Конвенції. Верховний суд та канцлер юстиції у нещодавні роки розробили прецеденти, підтверджуючи, що загальний принцип закону полягає в тому, що наказ про відшкодування за порушення Конвенції може бути виданий без прямої підтримки у шведському статуті у тій мірі, в якій Швеція зобов’язана надавати відшкодування особам, постраждалим від порушень Конвенції, у зв’язку з правом на відшкодування шкоди (див. Lindstrand Partners Advokatbyrå AB v. Sweden, № 18700/09, §§ 58-62 і 67, 20 грудня 2016 року, з подальшими посиланнями). 1 квітня 2018 року, шляхом прийняття нового положення – Розділу 3, статті 4 – Закону про деліктну відповідальність (Skadeståndslagen; 1972:207), було кодифіковано право на відшкодування порушень Конвенції.
54. Окрім вищезгаданих контрольних функцій відповідно до Указу про інструкції Інспекції зовнішньої розвідки та Закону про обробку персональних даних НОР (див. пункти 38, 42 і 43 вище), Управлінню захисту даних зазвичай довіряється захист осіб від порушень їхньої особистої недоторканності у зв’язку з обробкою персональних даних, відповідно до Закону з Додатковими положеннями до Загальних положень ЄС про захист даних (Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning) який набув сили 25 травня 2018 року, того ж дня, як і нове законодавство ЄС, яке він доповнює (пункт 81 нижче). Стосовно радіоелектронної розвідки, яку здійснює НОР – яка виходить поза межі компетенції ЄС і тому не охоплюється Законом про співтовариство – Закон про персональні дані (Personuppgiftslagen; 1998:204) продовжує застосовуватися, хоча в інших аспектах його змінює нове положення ЄС та додатковий закон. Це дає Управлінню захисту даних аналогічне загальне завдання з контролю. При виконанні цього завдання Управління може отримувати та розглядати індивідуальні скарги.
J. Таємниця у НОР
55. Закон про загальний доступ до інформації та таємницю (Offentlighets‑ och sekretesslagen; 2009:400) містить конкретне положення про радіоелектронну розвідку НОР. Таємниця застосовується до інформації про персональні або економічні обставини особи, окрім випадків, коли очевидно, що інформація може бути розкрита без завдання шкоди відповідній особі або будь-якій іншій особі, тісно пов’язаній з нею. Тому існує презумпція таємниці (Розділ 38, стаття 4).
56. Відповідно до Закону, таємниця також зазвичай застосовується до діяльності зовнішньої розвідки у зв’язку з інформацією стосовно іншої держави, міжнародної організації, органу, громадянина або юридичної особи іншої держави, якщо можна припустити, що розкриття інформації призведе до втручання у міжнародні стосунки Швеції або якось пошкодить країні (Розділ 15, стаття 1).
57. Таємниця також застосовується до інформації про діяльність, яка стосується захисту країни, або планування такої діяльності, або до інформації, яка іншим чином стосується всеосяжної стратегії оборони країни, якщо можна припустити, що її розкриття пошкодить обороні країни або поставить під загрозу національну безпеку (Розділ 15, стаття 2).
58. Інформація, яка захищена таємницею відповідно до Закону про загальний доступ до інформації та таємницю, не може бути розкрита іноземному органу або міжнародній організації, окрім випадків, 1) коли чітке правове положення дозволяє таке розкриття (див. статтю 7 Указу про обробку персональних даних НОР, пункт 34 вище), або 2) якщо інформація в аналогічній ситуації може бути передана органу влади Швеції, і орган, який її розкриває, вважає очевидним те, що передання інформації іноземному органу або міжнародній організації відповідатиме інтересам Швеції (Розділ 8, стаття 3 закону).
K. Доповіді Управління захисту даних
59. 12 лютого 2009 року Уряд наказав Управлінню захисту даних розглянути те, як НОР обробляє персональні дані, з точки зору недоторканності. У своїй доповіді, опублікованій 6 грудня 2010 року, Управління заявило, що його висновки були в цілому позитивними. Питання стосовно обробки персональних даних та особистої недоторканності були серйозно розглянуті НОР, і значний обсяг часу та ресурсів був відведений на створення процедур та навчання персоналу НОР для мінімізації ризику невиправданих втручань у персональну недоторканність. Крім того, не були виявлені жодні докази, які б указували на те, що НОР обробляла персональні дані у цілях, не дозволених чинним законодавством (див. пункти 12-14 і 28 вище). Однак, Управління зауважило, зокрема, що існувала необхідність у поліпшенні методів для відокремлення національних та транскордонних комунікацій. Навіть якщо НОР втілила механізми у цьому напрямку, не існувало гарантій того, що національні комунікації ніколи не перехоплювалися, і хоча випадків було дуже небагато, такі комунікації у дійсності перехоплювалися. Управління також зауважило, що процедура інформування осіб (пункти 44-45 вище) ніколи не використовувалася НОР, у зв’язку з таємницею.
60. Управління видало другу доповідь 24 жовтня 2016 року. Управління знову не виявило доказів того, що персональні дані збиралися для інших цілей, ніж ті, які були передбачені діяльністю радіоелектронної розвідки. Воно також зауважило, що НОР постійно переглядала, чи були перехоплені дані усе ще необхідними для цих цілей. Аналогічний перегляд здійснювався стосовно носіїв, з яких НОР отримувала інформацію. Крім того, ніщо не вказувало на те, що положення про знищення персональних даних не враховувалися (див. пункти 25-27 вище). Однак, НОР була розкритикована за неналежний моніторинг журналів, які використовувалися для виявлення невиправданого використання персональних даних; цей недолік уже був відмічений у 2010 році.
L. Доповідь Комітету радіоелектронної розвідки
61. 12 лютого 2009 року Уряд також вирішив призначити комітет, який переважно складався зі членів парламенту – Комітет радіоелектронної розвідки (Signalspaningskommittén), завданням якого був моніторинг радіоелектронної розвідки, яку здійснювала НОР, для розгляду загроз для особистої недоторканності. Доповідь була представлена 11 лютого 2011 року (Uppföljning av signalspaningslagen; SOU 2011:13). Розгляд Комітету фокусувався переважно на радіоелектронній розвідці, яка здійснювалася в ефірі, оскільки така діяльність стосовно трафіку, який передавався через кабелі, ще не досягла значного обсягу.
62. Комітет дійшов висновку про те, що НОР віднеслася до питань особистої недоторканності серйозно і вони сформували ключову частину розвитку її процедур. Однак, він зауважив, що існували практичні складності у відокремленні внутрішніх кабельних комунікацій від тих, які перетинали кордон Швеції. Будь-які внутрішні комунікації, які не були відокремлені автоматично, відокремлювалися вручну на стадії обробки або аналізу. Комітет також зауважив, що умови пошуку, які були використані для комунікаційних даних, були менш точними ніж ті, які використовувалися для перехоплення змісту розмов, і, відповідно, НОР могла зберігати дані про більшу кількість таких осіб.
63. Інший висновок у доповіді полягав у тому, що розвиток НОР (див. пункт 14 вище) міг призвести до перехоплення та можливого прочитання або прослуховування неважливих комунікацій персоналом НОР. Однак, Комітет зауважив, що діяльність з розвитку була ключовою для здатності НОР проводити радіоелектронну розвідку. Крім того, інформація, отримана за допомогою діяльності з розвитку, могла бути використана в ході звичайної розвідки, лише якщо таке використання відповідало меті, встановленій законом та відповідними робочими директивами радіоелектронної розвідки.
64. Як і Управління захисту даних (див. пункт 59 вище), Комітет зауважив, що у дійсності зобов’язання НОР щодо інформування осіб, які безпосередньо та особисто підлягали таємному спостереженню, було дуже обмеженим у зв’язку з таємницею; тому він дійшов висновку про те, що це зобов’язання не служило жодній меті, як гарантія правової впевненості або протидії втручанню у недоторканність. Однак, Комітет виявив, що, зокрема, процедура отримання дозволу у Суді зовнішньої розвідки, при прийнятті рішення про дозволи на проведення заходів електронної розвідки (пункти 18-22), і контрольні функції, які здійснювала Інспекція зовнішньої розвідки (пункти 24 і 36-40) та Рада з захисту приватності (пункт 41) забезпечували важливий захист особистої недоторканності осіб. Стосовно цього він зауважив, що хоча Рада захисту приватності була частиною НОР, вона діяла незалежно.
III. ВІДПОВІДНЕ МІЖНАРОДНЕ ТА ЄВРОПЕЙСЬКЕ ПРАВО
A. Організація Об’єднаних Націй
65. Резолюція № 68/167, про право на приватність у цифровий вік прийнята Генеральною Асамблеєю 18 грудня 2013 року, передбачає:
“Генеральна Асамблея,
...
4. Закликає усі держави:
...
(c) Переглянути свої процедури, практику та законодавство стосовно спостереження за комунікаціями, їх перехоплення та збирання персональних даних, у тому числі масового спостереження, перехоплення та збирання, з метою захисту права на приватність шляхом забезпечення повного та ефективного втілення усіх зобов’язань відповідно до міжнародного права прав людини;
(d) Встановити або підтримати існуючі незалежні, ефективні національні контрольні механізми здатні забезпечити прозорість, де це доречно, і звітність держави за перехоплення спостереження за комунікаціями, їх перехоплення та збирання персональних даних ...”
B. Рада Європи
1. Конвенція про захист осіб у зв’язку з автоматичною обробкою персональних даних та Додатковий протокол до неї
66. Конвенція про захист осіб у зв’язку з автоматичною обробкою персональних даних від 28 січня 1981 року (CETS № 108) була ратифікована у Швеції 29 вересня 1982 року. Вона встановлює стандарти для захисту даних у сфері автоматичної обробки персональних даних у громадському та приватному секторі. Вона передбачає, у відповідній частині:
Преамбула
“Держави - члени Ради Європи, які підписали цю Конвенцію,
беручи до уваги те, що метою Ради Європи є досягнення більшого єднання між її членами, яке ґрунтується, зокрема, на дотриманні верховенства права, а також прав людини й основоположних свобод;
беручи до уваги те, що бажано поширювати гарантії прав й основоположних свобод кожної людини, зокрема права на повагу до недоторканості приватного життя, з огляду на зростання транскордонного потоку персональних даних, які піддаються автоматизованій обробці;
підтверджуючи водночас свою відданість свободі інформації незалежно від кордонів;
визнаючи необхідність узгодження основоположних цінностей поваги до недоторканості приватного життя й безперешкодного обміну інформацією між народами,
домовилися про таке:”
Стаття 1 – Предмет і мета
“Метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканість приватного життя, у зв'язку з автоматизованою обробкою персональних даних, що її стосуються (далі - захист даних)”
Стаття 8 – Додаткові гарантії для суб’єкта даних
“Будь-якій особі надається можливість:
a. з'ясувати існування файлу персональних даних для автоматизованої обробки, його головні цілі, а також особу та постійне місце проживання чи головне місце роботи контролера файлу;
b. отримувати через обґрунтовані періоди та без надмірної затримки або витрат підтвердження або спростування факту зберігання персональних даних, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані в доступній для розуміння формі;
c. вимагати у відповідних випадках виправлення або знищення таких даних, якщо вони оброблялися всупереч положенням внутрішнього законодавства, що запроваджують основоположні принципи, визначені у статтях 5 і 6 цієї Конвенції;
d. використовувати засоби правового захисту в разі невиконання передбаченого в пунктах "b" і "c" цієї статті прохання про підтвердження або у відповідних випадках про надання, виправлення або знищення персональних даних.”
Стаття 9 – Винятки та обмеження
“1. Винятки з положень статей 5, 6 та 8 цієї Конвенції дозволяються лише в рамках, визначених цією статтею.
2. Відхилення від положень статей 5, 6 та 8 цієї Конвенції дозволяється тоді, коли таке відхилення передбачене законодавством Сторони та є в демократичному суспільстві необхідним заходом, спрямованим на:
a. захист державної та громадської безпеки, фінансових інтересів Держави або на боротьбу з кримінальними правопорушеннями;
b. захист суб'єкта даних або прав і свобод інших людей.
...”
Стаття 10 – Санкції та засоби правового захисту
“Кожна Сторона зобов'язується встановити відповідні санкції та засоби правового захисту стосовно порушень положень внутрішнього права, що запроваджують основоположні принципи захисту персональних даних, визначені в цій главі.”
67. Додатковий протокол до Конвенції про захист осіб у зв’язку з автоматичною обробкою персональних даних, стосовно контрольних органів та транскордонних потоків даних, від 8 листопада 2001 року (CETS No. 181), ратифікований Швецією, передбачає:
Стаття 1 – Органи нагляду
“1. Кожна Сторона передбачає один чи більше органів нагляду, відповідальних за забезпечення дотримання заходів, які передбачено її внутрішньодержавним правом і які втілюють принципи, викладені в главах II і III Конвенції та в цьому Протоколі.
2. a. Для цього зазначений вище орган нагляду має, зокрема, повноваження стосовно розслідування та втручання, а також право брати участь у судовому розгляді або повідомляти компетентним судовим органам про порушення положень внутрішньодержавного права, що втілюють принципи, викладені в пункті 1 статті 1 цього Протоколу.
b. Кожний орган нагляду в межах своєї компетенції після розгляду приймає рішення у зв'язку із заявами будь-якої особи стосовно захисту її прав та основоположних свобод стосовно обробки персональних даних.
3. Органи нагляду виконують свої функції в повній незалежності.
4. Ті рішення органів нагляду, які викликають скарги, можна оскаржувати в судах.
...”
Стаття 2 – Транскордонні потоки персональних даних до користувача, який не підпадає під юрисдикцію Сторони Конвенції
“1. Кожна Сторона передбачає, що передача персональних даних користувачу, що знаходиться під юрисдикцією Держави чи організації, яка не є Стороною Конвенції, може здійснюватися, тільки якщо така Держава чи організація забезпечує адекватний рівень захисту відповідної передачі даних.
2. Відступаючи від положень пункту 1 статті 2 цього Протоколу, кожна Сторона може дозволити передачу персональних даних:
a. якщо внутрішньодержавне право передбачає це у зв'язку з:
– специфічними інтересами суб’єкта даних, або
– перевагою законних інтересів, зокрема важливих суспільних інтересів, або
b. якщо гарантії, що, зокрема, можуть випливати з договірних положень, надаються контролером, відповідальним за передачу, та визнаються як достатні компетентними органами відповідно до внутрішньодержавного права.”
2. Рекомендація Комітету міністрів щодо захисту персональних даних у сфері телекомунікаційних послуг
68. Рекомендація № R (95) 4 Комітету міністрів про захист персональних даних у сфері телекомунікаційних послуг, з конкретним посиланням на телефонні послуги, прийнята 7 лютого 1995 року, передбачає, зокрема:
“2.4. Втручання державних органів у зміст комунікації, включаючи використання пристроїв для прослуховування або інших засобів спостереження або перехоплення комунікацій, повинно здійснюватися лише тоді, коли це передбачено законом і є необхідним заходом у демократичному суспільстві в інтересах:
a. захисту державної безпеки, громадської безпеки, грошових інтересів держави або припинення кримінальних правопорушень;
b. захисту суб’єкта даних або прав та свобод інших осіб.
2.5. У випадку втручання державних органів у зміст повідомлення національне законодавство має регулювати:
a. здійснення прав суб’єкта даних на доступ та виправлення;
b. те, за яких обставин відповідальні державні органи мають право відмовити у наданні інформації зацікавленій особі або затримати її надання;
c. зберігання або знищення таких даних.
Якщо державний орган доручає оператору мережі або постачальнику послуг здійснити втручання, дані, зібрані таким чином, повинні передаватися лише органу, визначеному в дозволі на це втручання..”
3. Доповідь Венеціанської комісії
69. У грудні 2015 року Європейська комісія за демократію через право– “Венеціанська комісія” – оприлюднила свою “Доповідь про демократичний нагляд за органами радіоелектронної розвідки”. Комісія насамперед відмітила цінність, яку масове перехоплення може мати для безпеки, оскільки воно дозволяє службам безпеки користуватися про-активним підходом, шукаючи досі невідомих небезпек замість розслідування відомих. Однак, вона також зауважила, що масове перехоплення даних, або вимоги того, щоб телекомунікаційні компанії зберігали, а потім надавали дані телекомунікаційного вмісту та метадані правоохоронним органам або органам безпеки, супроводжувалося широкомасштабним втручанням у приватність або інші права значної кількості населення світу. Стосовно цього Венеціанська комісія вважала, що головне втручання у приватність відбувалося, коли органи отримували доступ та/або обробляли персональні дані, які зберігалися. З цієї причини комп'ютерний аналіз (як правило, за допомогою селекторів) був одним із важливих етапів для узгодження проблем особистої недоторканності та інших інтересів.
70. Відповідно до доповіді, двома найбільш значними гарантіями були процес надання дозволу (на збирання та доступ) і процес контролю. З прецедентної практики Суду було очевидно, що процес контролю повинен здійснювати незалежний зовнішній орган. У той час як Суд надавав перевагу судовому дозволу, він не визнав його необхідною вимогою. Скоріше, систему необхідно було оцінювати у цілому, і коли незалежний контроль був відсутній на стадії надання дозволу, повинні були існувати сильні гарантії на стадії контролю. Стосовно цього Венеціанська комісія розглянула приклад системи, яка працює у Сполучених Штатах, де дозвіл надає Суд з нагляду за зовнішньою розвідкою. Однак, вона зазначила, що, незважаючи на існування судового дозволу, відсутність незалежного нагляду за станом суду була проблематичною.
71. Аналогічно, Комісія зауважила, що інформування суб’єкта спостереження не було абсолютною вимогою статті 8 Конвенції. Стосовно цього загальна процедура оскарження у незалежному контрольному органі повинна компенсувати відсутність інформування.
72. У доповіді внутрішні заходи контролю також вважалися “первинною гарантією”. У зв’язку з цим ключовим питанням були набір та навчання; крім того, органам важливо було просувати повагу до приватного життя та інших прав людини під час оприлюднення внутрішніх правил.
73. У доповіді також була розглянута позиція журналістів. У доповіді визнавалося, що журналісти були групою, яка потребувала особливого захисту, оскільки перегляд їхніх контактів може виявити їхні джерела (і ризик розкриття може бути потужним стримуючим чинником для постачальників інформаціъ). Однак, у доповіді було зазначено, що не існувало абсолютної заборони на перегляд контактів журналістів, за умови, що існували дуже переконливі підстави для цього. Однак, у доповіді визнавалося, що професія журналіста не була такою, яку можна легко виявити, оскільки НУО також займалися побудовою громадської думки, і навіть блогери можуть заявляти про свої права на такий саме захист.
74. Нарешті, у доповіді було стисло розглянуте питання обміну даними розвідки, і зокрема, ризик того, що держави можуть обійти сильніші внутрішні процедури або будь-які правові обмеження, які можуть поширюватися на їхні відомства стосовно внутрішніх розвідувальних операцій. У доповіді зазначалося, що належною гарантією буде забезпечення того, щоб у масиві матеріалів можна було проводити пошук лише при дотриманні всіх матеріальних вимог національного пошуку, і це було так само ухвалено, як пошук у масиві матеріалів, отриманих радіоелектронною розвідкою шляхом використання власних технічних засобів.
C. Європейський Союз
1. Хартія основних прав Європейського Союзу
75. Статті 7, 8 і 11 Хартії передбачають наступне:
Стаття 7 – Повага до приватного та сімейного життя
“Кожен маэ право на повагу до свого приватного життя, житла та комунікацій.”
Стаття 8 – Захист персональних даних
“1. Кожен має право на захист своїх даних персонального характеру.
2. Такі дані повинні оброблятися справедливо для визначених цілей та на основі згоди зацікавленої особи або будь-якої іншої законної підстави, встановленої законом. Кожен має право доступу до даних, які були зібрані стосовно нього, і право на їх виправлення.
3. Дотримання цих правил підлягає контролю з боку незалежного органу.”
Стаття 11 – Свобода вираження поглядів та інформації
“1. Кожна людина має право на свободу вираження поглядів. Це право включає свободу дотримуватися думок, отримувати та передавати інформацію та ідеї без втручання державної влади та незалежно від кордонів.
2. Свобода та плюралізм засобів масової інформації повинні поважатися.”
2. Директиви ЄС стосовно захисту та обробки персональних даних
76. Директива про захист даних (Директива 95/46/EC про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних), прийнята 24 жовтня 1995 року, упродовж багатьох років регулювала захист та обробку персональних даних у Європейському Союзі. Оскільки діяльність держав-членів щодо громадської безпеки, оборони та державної безпеки виходить за рамки законодавства Співтовариства, Директива не застосовується до цих видів діяльності (стаття 3(2)).
77. Директива про приватність та електронні комунікації (Директива 2002/58/EC щодо обробки персональних даних та захисту конфіденційності в секторі електронних комунікацій), прийнята 12 липня 2002 року, містить наступне, у пунктах 2 і 11:
“(2) Ця Директива прагне поважати основні права та дотримується принципів, визнаних, зокрема, Хартією основних прав Європейського Союзу. Зокрема, ця Директива має на меті забезпечити повне дотримання прав, викладених у статтях 7 та 8 цієї Хартії.
(11) Як і Директива 95/46/ЕС, ця Директива не розглядає питання захисту основних прав і свобод, пов'язаних з діяльністю, яка не регулюється законодавством Співтовариства. Тому це не змінює існуючого балансу між правом особи на приватне життя та можливістю держав-членів вжити заходів, зазначених у статті 15 (1) цієї Директиви, необхідних для захисту громадської безпеки, оборони, державної безпеки (включаючи економічний добробут держави, коли діяльність пов'язана з питаннями державної безпеки) та забезпечення кримінального законодавства. Отже, ця Директива не впливає на здатність держав-членів здійснювати законне перехоплення електронних комунікацій або вживати інших заходів, якщо це необхідно для будь-якої з цих цілей та відповідно до Європейської конвенції про захист прав людини та основних свобод, у тлумаченні рішень Європейського суду з прав людини. Такі заходи повинні бути доречними, суворо пропорційними передбачуваній меті та бути необхідними в демократичному суспільстві та повинні підлягати належним гарантіям відповідно до Європейської конвенції про захист прав людини та основних свобод.”
Директива також передбачає, зокрема:
Стаття 1 – Обсяг та мета
“1. Ця Директива гармонізує положення держав-членів, необхідні для забезпечення рівноцінного рівня захисту основних прав і свобод, зокрема права на приватність, щодо обробки персональних даних у секторі електронних комунікацій та забезпечення вільного руху таких даних і обладнання та послуг електронного зв'язку в Співтоваристві.
2. Положення цієї Директиви конкретизують та доповнюють Директиву 95/46/ЕС для цілей, зазначених у пункті 1. Крім того, вони забезпечують захист законних інтересів абонентів, які є юридичними особами.
3. Ця Директива не поширюється на діяльність, яка не підпадає під дію Договору про заснування Європейського Співтовариства, наприклад, таку, що охоплюється розділами V та VI Договору про Європейський Союз, і в будь-якому випадку на діяльність, що стосується громадської безпеки, оборони, державної безпеки (включаючи економічний добробут держави, коли діяльність стосується питань державної безпеки) та діяльність держави в галузях кримінального права.”
Стаття 15 – Застосування певних положень Директиви 95/46/EC
“1. Держави-члени можуть прийняти законодавчі заходи для обмеження обсягу прав та обов'язків, передбачених статтею 5, статтею 6, статтею 8 (1), (2), (3) та (4) та статтею 9 цієї Директиви, коли такі обмеження є необхідним, відповідним та пропорційним заходом у демократичному суспільстві для захисту національної безпеки (тобто державної безпеки), оборони, громадської безпеки, а також запобігання, розслідування, виявлення та переслідування кримінальних правопорушень або несанкціонованого використання системи електронного зв'язку, як зазначено у статті 13 (1) Директиви 95/46/ЕС. З цією метою держави-члени можуть, серед іншого, прийняти законодавчі заходи, що передбачають збереження даних протягом обмеженого періоду, виправданого на підставах, викладених у цьому пункті. Усі заходи, зазначені в цьому пункті, повинні відповідати загальним принципам законодавства Співтовариства, включаючи заходи, зазначені у статті 6 (1) та (2) Договору про Європейський Союз.”
78. 15 березня 2006 року була прийнята Директива про зберігання даних (Директива 2006/24/EC про зберігання даних, сформованих або оброблених у зв'язку з наданням загальнодоступних послуг електронного зв'язку або мереж загального користування, та внесення змін до Директиви 2002/58/EC). Вона передбачала, зокрема:
Стаття 1 - Предмет і сфера застосування
“1. Ця Директива має на меті гармонізацію положень держав-членів щодо зобов'язань провайдерів загальнодоступних електронних послуг зв'язку або громадських мереж зв'язку стосовно зберігання певних даних, які ними генеруються або обробляються, з метою забезпечення того, щоб дані були доступні для розслідування, розкриття та переслідування тяжких злочинів, як це визначено кожною державою-членом у своєму національному законодавстві.
2. Ця Директива застосовується до даних про трафік та місцезнаходження як юридичних, так і фізичних осіб, а також відповідних даних, необхідних для ідентифікації абонента або зареєстрованого користувача. Це не поширюється на вміст електронних комунікацій, включаючи інформацію, яку можна отримати за допомогою мережі електронних комунікацій.”
Стаття 3 – Зобов’язання зберігати дані
“1. Шляхом відступу від статей 5, 6 та 9 Директиви 2002/58/ЕС, держави-члени вживають заходів для забезпечення зберігання даних, зазначених у статті 5 цієї Директиви, відповідно до положень цієї Директиви, у тій мірі, в якій дані генеруються або обробляються постачальниками загальнодоступних послуг електронного зв'язку або мережами загального користування, що перебувають під їх юрисдикцією, у процесі надання відповідних послуг зв'язку.
...”
3. Прецедентна практика Суду Європейського Союзу (СЄС) про захист даних
79. У рішенні Digital Rights Ireland v Minister for Communications & Others, (справи C-293/12 і C-594/12, рішення від 8 квітня 2014 року), СЄС проголосив недійсною директиву 2006/24/EC. СЄС зауважив, що хоча директива не дозволяла зберігання вмісту комунікацій, дані про трафік та місцезнаходження могли дозволити зробити дуже точний висновок про приватне життя осіб, чиї дані зберігалися. Відповідно, зобов’язання провайдерів загальнодоступних послуг електронного зв’язку або громадських мереж зв’язку зберігати дані та доступ національних органів влад до даних становили втручання у право на повагу до приватного життя і комунікацій, а також право на захист персональних даних, гарантовані статтями 7 і 8 Хартії основних прав. Хоча втручання відповідало директиві загального інтересу, а саме, робило внесок до боротьби з тяжкою злочинністю та тероризмом, і тим самим сприяло державній безпеці, воно не задовольняло вимозі пропорційності. Захист основного права на повагу до приватного життя, відповідно до усталеної прецедентної практики суду, передбачав, що відхилення та обмеження стосовно захисту персональних даних могли застосовуватися лише в тій мірі, в якій були суворо необхідні. Однак, директива охоплювала усіх осіб та усі засоби електронного зв’язку, а також усі комунікаційні дані, без жодного розрізнення, обмеження або винятку у світлі мети боротьби з тяжкою злочинністю. Тому вона тягнула за собою втручання в основні права практично усього населення Європи, навіть осіб, стосовно яких ніщо не вказувало, що їх поведінка може мати навіть непрямий або віддалений зв’язок з тяжкою злочинністю. Крім того, директива не містила матеріальні та процесуальні умови, які стосувалися доступу компетентних національних органів до даних та їхнього подальшого використання. Шляхом простого посилання на тяжку злочинність, як визначено кожною державою-учасником у своєму національному законодавстві, директива не навела жодний об’єктивний критерій, в силу якого можна визначити, які порушення можуть вважатися достатньо тяжкими для виправдання такого значного втручання у права, закріплені у статтях 7 та 8 Хартії. Понад усе, доступ компетентних національних органів до даних, які зберігалися, не залежав від попереднього перегляду з боку суду або адміністративного органу, рішення якого прагнуло обмежити доступ до даних та їх використання тим, що було суворо необхідним для досягнення переслідуваної цілі. СЄС зробив висновок про те, що Директива тягнула за собою широкомасштабне та особливо тяжке втручання у права, закріплені у статтях 7 та 8 Хартії, не надаючи чіткі та точні правила, які б регулювали обсяг втручання та забезпечували, щоб воно обмежувалося тим, що було суворо необхідним. Крім того, директива не передбачала достатні гарантії, за допомогою технічних або організаційних заходів, для забезпечення ефективного захисту збережених даних від ризику зловживання та від незаконного доступу до цих даних та їх використання.
80. У поєднаних справах Tele2 Sverige AB v Post- och telestyrelsen і Secretary of State for the Home Department v Tom Watson and Others (справи C-203/15 і C-698/15, рішення від 21 грудня 2016 року), СЄС (Велика палата) розглянув, по-перше, питання відмови провайдера послуг електронного зв’язку зберігати дані відповідно до законодавства Швеції, яке набрало чинності у нині недійсній Директиві 2006/24/EC. СЄС постановив, зокрема:
“107. Отже, національне законодавство, таке як те, що розглядається в основному провадженні, перевищує межі того, що є суворо необхідним, і не може вважатися виправданим у демократичному суспільстві, як того вимагає ст. 15(1) Директиви 2002/58, розглянута у світлі статей 7, 8 і 11 та статті 52(1) Хартії.
108. Однак, стаття 15(1) Директиви 2002/58, у світлі статей 7, 8 і 11 та статті 52(1) Хартії, не заважає державі-члену прийняти законодавство, яке в якості превентивного заходу дозволяє цілеспрямоване зберігання даних про трафік та місцезнаходження з метою боротьби з тяжкими злочинами, за умови, що зберігання даних обмежене щодо категорій даних, які будуть збережені, засобів зв'язку, зацікавлених осіб та прийнятого строку зберігання, суворо необхідним.
109. Для того, щоб задовольнити вимоги, викладені в попередньому пункті цього рішення, національне законодавство повинно, по-перше, встановити чіткі та точні правила, що регулюють сферу застосування та застосування такого заходу зберігання даних та встановлюють мінімальні запобіжники, щоб особи, чиї дані зберігаються, мали достатні гарантії ефективного захисту своїх персональних даних від ризику зловживання. Це законодавство повинно, зокрема, вказати, за яких обставин та на яких умовах може бути прийнято захід зберігання даних в якості запобіжного заходу, тим самим гарантуючи, що такий захід обмежується суворо необхідним. ...
110. По-друге, щодо матеріальних умов, яким має відповідати національне законодавство, яке дозволяє в контексті боротьби зі злочинністю, в якості запобіжного заходу, зберігати дані про трафік та місцезнаходження, якщо потрібно забезпечити, щоб збереження даних обмежувалось тим, що є суворо необхідним, слід зауважити, що, хоча ці умови можуть змінюватися залежно від характеру заходів, що вживаються з метою запобігання, розслідування, розкриття та переслідування тяжких злочинів, зберігання даних все ж має продовжуватися, щоб відповідати об'єктивним критеріям, які встановлюють зв’язок між даними, які слід зберегти, та ціллю, яку переслідують. Зокрема, такі умови повинні бути такими, щоб фактично обмежувати масштаби цього заходу і, отже, осіб, на яких це впливає.
111. Що стосується встановлення обмежень щодо такого заходу стосовно громадськості та ситуацій, які можуть потенційно потрапити до сфери застосування, національне законодавство повинно ґрунтуватися на об'єктивних доказах, що дозволяють ідентифікувати громадськість, дані якої можуть виявити принаймні непрямий зв’язок з тяжкими кримінальними правопорушеннями та сприяти тим чи іншим чином боротьбі з тяжкими злочинами або запобіганню серйозному ризику для громадської безпеки. Такі обмеження можуть бути встановлені за допомогою географічного критерію, коли компетентні національні органи на основі об'єктивних доказів вважають, що в одному або кількох географічних районах існує великий ризик підготовки або вчинення таких правопорушень..
112. Беручи до уваги усі поточні міркування, ... статтю 15(1) Директиви 2002/58, прочитану у світлі статей 7, 8 і 11 та статті 52(1) Хартії, необхідно тлумачити як таку, що виключає національне законодавство, яке з метою боротьби зі злочинністю передбачає загальне та невибіркове зберігання всіх даних про трафік та місцезнаходження всіх абонентів та зареєстрованих користувачів, що стосується всіх засобів електронного зв'язку.”
СЄС також розглянув питання Апеляційного суду Англії та Уельсу (Цивільного відділення) щодо того, чи тлумачив Суд у справі Digital Rights статті 7 та 8 Хартії у такий спосіб, щоб вони розширювали сферу застосування, якою Європейський суд з прав людини наділив статтю 8 Конвенції. СЄС зауважив:
“127. Попередньо слід нагадати, що, хоча, як підтверджує стаття 6 (3) [Договору про Європейський Союз], основні права, визнані [Конвенцією], становлять загальні принципи права ЄС, [Конвенція] не є правовим документом, який офіційно включено до законодавства ЄС, доки Європейський Союз не приєднався до неї ... .
128. Відповідно, тлумачення Директиви 2002/58, про яке йдеться у цій справі, повинно здійснюватися виключно з урахуванням основних прав, гарантованих Хартією ... .
129. Крім того, слід мати на увазі, що пояснення до статті 52 Хартії вказує на те, що пункт 3 цієї статті призначений для забезпечення необхідної узгодженості між Хартією та [Конвенцією], ‘без негативного впливу на автономність права Союзу та ... Суду Європейського Союзу’ (рішення від 15 лютого 2016 року, N., C-601/15 PPU, EU:C:2016:84, пункт 47). Зокрема, як прямо зазначено у другому реченні статті 52 (3) Хартії, перше речення статті 52 (3) не заважає законодавству Союзу надавати захист, який є більш широким, ніж [Конвенція]. Нарешті слід додати, що стаття 8 Хартії стосується основного права, яке відрізняється від права, закріпленого в статті 7 Хартії, і яке не має еквіваленту в [Конвенції].
130. Однак, відповідно до усталеної практики Суду, обґрунтування подання клопотання про попереднє рішення полягає не в наданні консультативних висновків із загальних або гіпотетичних питань, а в тому, що це необхідно для ефективного вирішення спору стосовно права ЄС ... .
131. У цій справі, з огляду на міркування, викладені, зокрема, у пунктах 128 та 129 цього рішення, питання про те, чи ширше захист, передбачений статтями 7 та 8 Хартії, ніж захист, гарантований у статті 8 ЄКПЛ, не може вплинути на тлумачення Директиви 2002/58, розглянутої у світлі Хартії, що є предметом спору під час провадження у справі C-698/15.
132. Відповідно, не видається, що відповідь на друге запитання у справі C-698/15 може дати будь-яке тлумачення моментів права ЄС, необхідних для вирішення цього спору у світлі цього закону.
133. Звідси випливає, що друге питання у справі C‑698/15 є неприйнятним.”
СЄС постановив:
“1. Статтю 15(1) Директиви 2002/58/EC Європейського парламенту та Ради від 12 липня 2002 року стосовно обробки персональних даних та захисту приватності у секторі електронного спілкування (Директива про приватність та електронний зв’язок), виправлену Директивою 2009/136/EC Європейського парламенту та Ради від 25 листопада 2009 року, прочитану у світлі статей 7, 8 і 11 та статті 52(1) Хартії основних прав Європейського союзу, необхідно тлумачити, як ту, що виключає національне законодавство, яке з метою боротьби зі злочинністю передбачає загальне та невибіркове зберігання всіх даних про трафік та місцезнаходження всіх абонентів та зареєстрованих користувачів щодо всіх засобів електронного зв'язку.
2. Статтю 15(1) Директиви 2002/58, виправлену Директивою 2009/136, прочитану у світлі статей 7, 8 і 11 та статті 52(1) Хартії основних прав, слід тлумачити як ту, що виключає національне законодавство, що регулює захист та безпеку даних про трафік та місцезнаходження, і, зокрема, доступ компетентних національних органів до збережених даних, якщо мета доступу в контексті боротьби зі злочинністю не обмежується виключно боротьбою з тяжкими злочинами, коли доступ не підлягає попередньому розгляду судом або незалежним адміністративним органом, і коли немає вимоги щодо збереження відповідних даних у межах Європейського Союзу.
3. Друге питання, на яке посилався Апеляційний суд Англії та Уельсу (Цивільний відділ) є неприйнятним.”
4. Загальне положення про захист даних
81. 25 травня 2018 року набуло сили загальне положення про захист даних (Положення (EU) 2016/679 про захист фізичних осіб щодо обробки персональних даних та про вільний рух таких даних, а також про скасування Директиви 95/46/EC). Як і Директива, яку воно замінило, це положення не застосовується до державної діяльності щодо громадської безпеки, оборони та державної безпеки (стаття 2(2)).
ПРАВО
I. ЗАЯВЛЕНЕ ПОРУШЕННЯ СТАТТІ 8 КОНВЕНЦІЇ
82. Заявник скаржився на те, що державна практика та законодавство Швеції стосовно радіоелектронної розвідки порушило та продовжувало порушувати його право на повагу до приватного життя та кореспонденції. Скарга стосувалася трьох часових періодів: з 2002 року до 1 січня 2009 року, з 1 січня 2009 року до 1 грудня 2009 року та з 1 грудня 2009 року надалі. Заявник спирався на статтю 8 Конвенції, яка передбачає:
“1. Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.
2. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.”
A. Щодо прийнятності
83. Уряд поставив під сумнів те, чи вичерпав заявник усі доступні національні засоби правового захисту, і залишив питання вичерпання на розсуд Суду. Уряд також стверджував, що заявник не міг вважати себе потерпілим від заявленого порушення статті 8. Що стосується приватного життя, Уряд заперечував, що таке право надається юридичним особам. У будь-якому випадку, на думку Уряду, скарга була явно необґрунтованою.
84. Стосовно першого заперечення Уряду Суд зауважує, як пояснюється нижче (див. пункти 171-177), що на практиці не існує засобу правового захисту, який надає детальні підстави у своїй відповіді скаржнику, який підозрює, що його комунікації перехоплювалися. Крім того, Уряд не вказав на жодний окремий засіб правового захисту, який було б необхідно вичерпати для цілей статті 35. Тому Суд вважає, що заявник не повинен був порушувати провадження иа національному рівні, а тому відхиляє заперечення про вичерпання національних засобів правового захисту.
85. Що стосується приватного життя, Суд раніше постановляв, що можна поставити під сумнів те, чи має юридична особа приватне життя у розумінні статті 8. Однак, можна стверджувати, що її пошта та інші комунікації охоплюються поняттям “кореспонденція”, яке застосовується однаково до комунікацій, які відбуваються у приватних та ділових приміщеннях. Крім того, заявники, які є юридичними особами, можуть бути занепокоєні тим, що до них застосовується таємне спостереження, і тому було визнано, що вони можуть вважатися потерпілими (див. Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, № 62540/00, § 60, 28 червня 2007 року, з подальшими посиланнями). Тому буде доречним розглянути скаргу відповідно до права заявника на повагу до кореспонденції.
86. Беручи до уваги те, що заперечення Уряду щодо статусу потерпілого тісно пов’язане з суттю скарги заявника, його необхідно приєднати до розгляду суті справи.
87. Суд також зауважує, що ця скарга не є явно необґрунтованою в розумінні статті 35 § 3 (a) Конвенції. Вона не є неприйнятною за будь-яких інших підстав. Тому вона повинна бути оголошена прийнятною.
B. Щодо суті
1. Статус заявника у якості потерпілого та існування втручання
(a) Доводи сторін
88. Уряд стверджував, що заявник не міг вважати себе потерпілим від порушення Конвенції у зв’язку з самим лише існуванням законодавства про радіоелектронну розвідку. Сукупність доступних механізмів контролю, наглядових елементів та засобів правового захисту являла собою достатні захисні засоби від зловживань компетенцією НОР щодо здійснення радіоелектронної розвідки. Крім того, можливості того, що заявник підлягав радіоелектронній розвідці, майже не існувало.
89. Заявник не погодився з Урядом і зауважив, з посиланням на справу Kennedy v. the United Kingdom (№ 26839/05, 18 травня 2010 року), що його статус потерпілого ґрунтувався на ризику застосування заходів таємного спостереження.
(b) Оцінка Суду
90. У рішенні Roman Zakharov v. Russia ([GC], № 47143/06, § 171, ECHR 2015), яке стосувалося таємного перехоплення розмов по мобільному телефону, суд, повторюючи підхід зі справи Kennedy, пояснив умови, за яких заявник може вважати себе потерпілим від порушення статті 8 без необхідності доводити, що заходи таємного спостереження дійсно застосовувалися до нього. Відповідно, Суд визнає, що заявник може вважати себе потерпілим від порушення, яке відбулося внаслідок самого лише існування заходів таємного спостереження або законодавства, яке дозволяє такі заходи, якщо задоволені наступні умови.
91. По-перше, слід взяти до уваги сферу застосування законодавства, яке дозволяє здійснювати таємне спостереження, розглянувши, чи могло воно вплинути на заявника, у зв’язку з тим, що він належить до групи осіб, які є цілями оскаржуваного законодавства, або оскільки законодавство безпосередньо впливає на всіх користувачів послуг зв’язку шляхом створення системи, в якій можуть бути перехоплені розмови будь-якої особи.
92. По-друге, буде врахована доступність засобів правового захисту на національному рівні; рівень контролю залежатиме від ефективності таких засобів правового захисту. Якщо національна система не забезпечує ефективний засіб правового захисту особі, яка підозрює, що стала суб’єктом таємного спостереження, не можна буде вважати невиправданими широко поширену підозру та занепокоєння загальної громадськості щодо того, що повноваженнями таємного спостереження зловживають. За таких обставин можна стверджувати, що сама загроза таємного спостереження може обмежувати вільне спілкування за допомогою поштових та телекомунікаційних послуг, становлячи для усіх користувачів або потенційних користувачів втручання у право, гарантоване статтею 8. Тому існує велика потреба у контролі Суду, і виняток з правила, яке не дає особам право опротестувати закон in abstracto, є виправданим. У таких випадках особа не зобов’язана демонструвати існування будь-якого ризику того, що засоби таємного спостереження дійсно застосовувалися до неї.
93. На відміну від цього, якщо національна система забезпечує ефективні засоби правового захисту, широко поширену підозру зловживання набагато складніше виправдати. У таких справах особа може вважати себе потерпілою він порушення у зв’язку з самим лише існуванням таємних засобів спостереження або законодавства, яке дозволяє таємні засоби, лише якщо вона може продемонструвати, що у зв’язку з конкретною персональною ситуацією вона потенційно ризикує зазнати таких заходів.
94. Суд вважає, що оскаржуване законодавство про електронну розвідку створює систему таємного спостереження, яка потенційно впливає на усіх користувачів, наприклад, мобільного телефонного зв’язку та інтернету, без інформування їх про спостереження. Також, як зазначається вище (див. пункт 84), ніякі національні засоби правового захисту не надають підстави у відповідь скаржнику, який підозрює, що його телефонні розмови перехоплювалися. За цих обставин Суд вважає розгляд відповідного законодавства in abstracto виправданим.
95. Тому заявник має право стверджувати, що він є потерпілим від порушення Конвенції, хоча неможливо стверджувати, що він зазнав конкретних заходів щодо перехоплення. За цієї ж підстави, саме лише існування оскаржуваного законодавства дорівнює втручанню у здійснення прав заявника за статтею 8. Тому Суд відхиляє заперечення Уряду про відсутність у заявника статусу потерпілого.
2. Часовий обсяг розгляду Суду
96. Як уже згадувалося, заявник скаржився щодо трьох різних часових періодів, стверджуючи, що кожний період характеризується різним правовим режимом.
97. В інших справах, де законодавство розглядалося in abstracto і до законодавства були внесені поправки у той час, як заява очікувала на розгляд, Суд обмежувався перевіркою відповідності Конвенції законодавства, чинного на час розгляду (див., наприклад, Association for European Integration and Human Rights and Ekimdzhiev, цит. вище; Iordachi and Others v. Moldova, № 25198/02, 10 лютого 2009 року; і Roman Zakharov, цит. вище).
98. Як зазначалося вище, задача Суду полягає не в розгляді заходів, які “безпосередньо вплинули” на заявника, а у перегляді відповідного законодавства та практики Швеції in abstracto. До законодавства Швеції було внесено багато змін після подання заяви до Суду, також після початку третього періоду 1 грудня 2009 року. Задача Суду при розгляді закону in abstracto не може полягати у розгляді відповідності Конвенції до та після кожного внесення змін. Тому перегляд сфокусується на законодавстві Швеції, яке є чинним на момент здійснення цього розгляду.
3. Виправдання втручання
(a) Загальні принципи
99. Суд повторює, що будь-яке втручання може бути виправданим відповідно до статті 8 § 2, лише якщо воно здійснюється відповідно до закону, переслідує одну або декілька законних цілей, на які посилається пункт 2 статті 8, і є необхідним у демократичному суспільстві для досягнення таких цілей. Наступні загальні принципи були зібрані у справі Roman Zakharov (див. §§ 228-236 того рішення та подальші посилання у них).
100. Формулювання “відповідно до закону” вимагає, щоб оскаржуваний захід мав певне підґрунтя у національному законодавстві та відповідав верховенству права, що явно згадується у Преамбулі до Конвенції та притаманне меті та цілі статті 8. Тому закон повинен відповідати вимогам якості: він повинен бути доступним відповідній особі та передбачуваним щодо своїх наслідків (Roman Zakharov, § 228).
101. Суд декілька разів постановляв, що посилання на “передбачуваність” у контексті перехоплення телефонних розмов не може бути таким саме, як і у багатьох інших галузях. Передбачуваність у конкретному контексті таємних засобів спостереження не може означати, що особа повинна мати змогу передбачити, коли органи влади можуть перехопити комунікації, щоб змінити свою поведінку у відповідному напрямку. Однак, особливо коли повноваження органів виконавчої влади здійснюються таємно, ризик свавілля є очевидним. Тому ключовим буде існування чітких, детальних правил про перехоплення телефонних розмов, особливо у зв’язку з тим, що доступні для використання технології постійно вдосконалюються. Національне законодавство повинно бути достатньо чітким для надання громадянам належних ознак щодо обставин та умов, які дають органам влади повноваження користуватися такими засобами (Roman Zakharov, § 229).
102. Крім того, оскільки практичне втілення заходів таємного спостереження за комунікаціями не відкрито для контроля з боку відповідних осіб або громадськості у цілому, верховенству права суперечитиме висловлення свободи розсуду виконавчої влади або судді у вигляді необмеженої влади. Відповідно, у законі повинна вказуватися сфера застосування свободи розсуду компетентних органів та спосіб її здійснення з достатньою чіткістю для надання особі достатнього захисту від свавільного втручання (Roman Zakharov, § 230).
103. У своїй прецедентній практиці про таємні заходи спостереження у кримінальних розслідуваннях Суд розробив наступні мінімальні гарантії, які повинні бути встановлені у праві для уникнення зловживання владою: опис характеру порушень, які можуть призвести до наказу про перехоплення; визначення категорій осіб, розмови яких можуть перехоплюватися; обмеження тривалості заходів; порядок розгляду, використання та зберігання отриманих даних; запобіжні заходи, які повинні існувати при переданні даних третім сторонам; та обставини, за яких записи можуть або повинні бути стерті чи знищені (Roman Zakharov, § 231).
104. Щодо питання про те, чи було втручання “необхідним у демократичному суспільстві” при переслідуванні законної мети, Суд визнав, що при врівноваженні інтересів держави-відповідача щодо захисту національної безпеки за допомогою заходів таємного спостереження проти тяжкості втручання у права заявника за статтею 8, національні органи влади користуються певною свободою розсуду при обранні засобів для досягнення законної мети захисту національної безпеки. Однак, ця свобода розсуду підлягає європейському нагляду, який охоплює як законодавство, так і рішення, які його застосовують. З огляду на ризик того, що система таємного спостереження, встановлена для захисту національної безпеки, може підірвати, або навіть знищити демократію під прикриттям її захисту, Суд повинен переконатися, що існують належні та ефективні гарантії проти зловживання. Оцінка залежить від усіх обставин справи, таких, як характер, обсяг та тривалість можливих заходів, підстави, необхідні для видання наказу про їх здійснення, органи влади, які мають компетенцію для видання та виконання наказу про їх здійснення, а також контроль за ними, і вид засобу правового захисту, який видає національне законодавство. Слід визначити, чи є процедури для контролю за виданням та втіленням наказу про здійснення заходів обмеження такими, які б обмежували “втручання” тим, що є “необхідним у демократичному суспільстві” (Roman Zakharov, § 232).
105. Нагляд та контроль за заходами таємного спостереження може здійснюватися на трьох стадіях: коли наказ про спостереження видається уперше, коли воно здійснюється або після його закінчення. Що стосується перших двох стадій, характер та логіка таємного спостереження диктують, що не лише саме спостереження, але й перегляд, що його супроводжує, має здійснюватися без знання відповідної особи. Отже, оскільки особа гарантовано не зможе шукати ефективний засіб правового захисту за власною ініціативою або приймати безпосередню участь у процедурі перегляду, життєво важливо, щоб встановлені процедури забезпечували належні та еквівалентні гарантії захисту прав особи. Крім того, у контрольних процедурах необхідно дотримуватися цінностей демократичного суспільства, як тільки це можливо, щоб не перевищити межі необхідності, у розумінні статті 8 § 2. У галузі, де зловживання є потенційно дуже легким в окремих справах і може мати настільки шкідливі наслідки для демократичного суспільства у цілому, у принципі, буде бажано довірити контрольні функції судді, судовий контроль зазвичай пропонує найкращі гарантії незалежності, неупередженості та належної процедури (Roman Zakharov, § 233).
106. Що стосується третьої стадії, після закінчення спостереження, питання подальшого інформування про заходи спостереження нерозривно пов’язане з ефективністю заходів, і тому – з існуванням ефективних гарантій проти зловживання повноваженнями моніторингу. У відповідної особи принципово мало можливостей для звернення до засобу правового захисту, якщо вона не була проінформована про заходи, вжиті без її відома, і тому не могла оскаржити їхню правомірність ретроспективно, або, в якості альтернативи, будь-яка особа, яка підозрює, що її розмови перехоплюються або перехоплювалися, може звернутися до доречного органа,юрисдикція якого не залежить від інформування особи, розмови якої перехоплювалися (Roman Zakharov, § 234).
107. Виявивши втручання у право заявника за статтею 8 § 1, при розгляді виправдання втручання за статтею 8 § 2, Суд має визначити, чи відповідає Конвенції саме оскаржуване законодавство (Roman Zakharov, § 235). У справах, в яких заявники оскаржують законодавство, яке дозволяє здійснювати таємне спостереження, питання правомірності втручання тісно пов’язане з питанням про те, чи була вимога “необхідності” дотримана, і тому буде доречно розглянути ці два питання разом. У цьому сенсі “якість закону” означає, що національне законодавство повинно бути не лише доступним та передбачуваним у своєму застосуванні, але й повинно забезпечувати, щоб засоби таємного спостереження застосовувалися лише коли це “необхідно у демократичному суспільстві”, зокрема, шляхом забезпечення належних та ефективних гарантій проти зловживання (Roman Zakharov, § 236).
(b) Існуюча прецедентна практика про масове перехоплення комунікацій
108. Суд розглянув сумісність з Конвенцією режимів, які явно дозволяють масове перехоплення комунікацій, двічі: спочатку у справі Weber and Saravia v. Germany ((dec.), № 54934/00, ECHR 2006-XI), а після цього у справі Liberty and Others v. the United Kingdom (№ 58243/00, 1 липня 2008 року).
109. У справі Weber and Saravia заявники скаржилися на процес стратегічного моніторингу відповідно до зміненого закону G10 Act, який дозволяв здійснювати моніторинг міжнародних бездротових комунікацій. Сигнали, отримані з іноземних держав, перевіряли пункти перевірки, розташовані на території Німеччини, за допомогою певних ключових слів, які надавалися у наказі про моніторинг. Записувалися та використовувалися лише розмови, які містили ці ключові слова. Беручи до уваги шість “мінімальних гарантій” (див. пункт 103 вище), Суд вважав, що існували належні та ефективні гарантії проти зловживання стратегічними повноваженнями моніторингу держави. Тому він проголосив скаргу заявників за статтею 8 явно необґрунтованою.
110. У справі Liberty and Others Суд розглядав режим відповідно до Закону 1985 року про перехоплення комунікацій, який дозволяв виконавчій владі перехоплювати комунікації між Сполученим Королівством та зовнішнім одержувачем. На час видання наказу про перехоплення Державний секретар повинен був видати довідку, яка б містила опис перехопленого матеріалу, який, на його думку, необхідно було розглянути. З огляду на Закон 1985 року, зовнішні повідомлення, надіслані на адресу у Сполученому Королівстві або отримані з такої адреси, можуть бути включені до довідки, лише якщо Державний секретар вважає це за необхідне для запобігання або виявлення терористичних актів. Законодавство передбачало, що в інших випадках матеріали можуть міститися в довідці, і тому бути прослухані або прочитані, якщо Державний секретар вважає це за необхідне в інтересах національної безпеки, запобігання тяжким злочинам або захисту економіки Сполученого Королівства. Суд постановив, що національне законодавство у той час не вказувало достатньо чітко для надання належного захисту від зловживання владою, сферу застосування або спосіб здійснення дуже широкої свободи розсуду, якою наділена держава при перехопленні та розгляді зовнішніх комунікацій. Зокрема, воно не викладало у доступній для громадськості формі будь-які вказівки на процедуру, якої слід дотримуватися при обранні перехопленого матеріалу для розгляду, обміну, зберігання та знищення.
(c) Застосування цих принципів до фактів справи
111. Сторони не опротестували те, що радіоелектронна розвідка Швеції, у своїй сучасній структурі, має підґрунтя у національному законодавстві. Крім того, Суд вважає чітким те, що заходи, дозволені законодавством Швеції, переслідують законні цілі в інтересах національної безпеки шляхом підтримки шведської зовнішньої політики, політики безпеки та оборони, і виявлення зовнішніх загроз країні. Тому залишається визначити, чи є національне законодавство доступним, і чи містить воно належні та ефективні гарантії для того, щоб вважатися “передбачуваним” та “необхідним у демократичному суспільстві”.
112. Суд явно визнав, що національні органи влади користуються широкою свободою розсуду при обранні того, як найкраще досягти законної мети захисту національної безпеки (див. Weber and Saravia, цит. вище, § 106). У справах Weber and Saravia і Liberty and Others Суд визнав, що режими масового перехоплення самі по собі не виходять поза межі свободи розсуду. Враховуючи обґрунтування Суду у цих рішеннях та з оглядом на поточні загрози, з якими стикаються Договірні Держави (у тому числі світовий тероризм та інші тяжкі злочини, такі, як торгівля наркотиками, торгівля людьми, сексуальна експлуатація дітей та кіберзлочинність), технологічні досягнення, які допомагають терористам та злочинцям уникати виявлення в інтернеті, і непередбачуваність шляхів передання електронних комунікацій, Суд вважає, що рішення про режим масового перехоплення для виявлення досі невідомих загроз національній безпеці усе ще знаходиться у рамках свободи розсуду держав.
113. Однак, з прецедентної практики Суду за декілька десятиріч очевидно, що усі режими перехоплення (масового та цільового) мають потенціал для зловживання, особливо там, де з відповідного законодавства не можна визначити справжню широту розсуду влади щодо перехоплення (див., наприклад, Klass and Others v. Germany, 6 вересня 1978 року, серія А № 28; Kennedy, цит. вище; Roman Zakharov, цит. вище, і Szabó and Vissy v. Hungary, № 37138/14, 12 січня 2016 року). Тому, хоча держави мають широку свободу розсуду при прийнятті рішень про те, який вид режиму перехоплення є необхідним для захисту національної безпеки, їхня свобода розсуду при здійсненні режиму перехоплення обов’язково повинна бути більш вузькою. Стосовно цього Суд виявив шість мінімальних гарантій, які повинен втілити режим масового перехоплення та інші режими перехоплення для того, щоб бути достатньо передбачуваними для мінімізації ризику зловживання владою (див. пункт 103 вище).
114. Відповідно, при адаптації цих мінімальних гарантій, де це необхідно, для відображення дії режиму масового перехоплення, що стосується виключно питань національної безпеки, наступна оцінка встановленого втручання (див. пункт 95 вище) розгляне доступність національного законодавства, сферу застосування та тривалість радіоелектронної розвідки, видання дозволу на здійснення заходів, необхідні процедури зберігання, доступу, розгляду, використання, передання та знищення перехоплених даних, механізми нагляду за виконанням заходів, будь-які механізми інформування та засоби правового захисту, які передбачає національне законодавство.
(i) Доступність національного законодавства
115. Суд вважає, що усі правові положення, які стосувалися радіоелектронної розвідки, були належним чином оприлюднені та доступні громадськості, і заявник не поставив цей факт під сумнів.
(ii) Сфера застосування радіоелектронної розвідки
(α) Доводи сторін
116. Заявник стверджував, що у той час, як поведінка, проти якої може бути спрямована радіоелектронна розвідка, тісно пов’язана з різними кримінальними злочинами, наприклад, злочинами проти національної безпеки, це саме не можна сказати про діяльність з розвитку НОР. Ця діяльність нібито дозволяю масове збирання даних, у тому числі великої кількості комунікаційних даних, не звертаючи увагу на вимогу того, що наказ про перехоплення може бути даний лише стосовно певних конкретних злочинів. Заявник також підкреслив, що з 1 січня 2013 року поліція безпеки та НОУП отримали мандат щодо видання більш детальних робочих директив для радіоелектронної розвідки. Оскільки загальними завданнями цих двох органів були запобігання злочинності та розслідування злочинів, існував ризик того, що радіоелектронна розвідка здійснювалася поза межами діяльності зовнішньої розвідки.
117. Уряд заявляв, що діяльність з розвитку НОР контролювалася так само суворо – і підлягала такому ж нагляду – як і радіоелектронна розвідка у цілому. Уряд також заперечував твердження про те, що радіоелектронною розвідкою можна було користуватися для розслідування злочинів, оскільки законодавство не дозволяло таке її використання.
(β) Оцінка Суду
118. Суд повторює, що національне законодавство повинно визначити сферу застосування заходів таємного спостереження шляхом надання громадянам належної ознаки щодо обставин, за яких органи державної влади уповноважені скористатися такими заходами (див. пункт 103 вище).
119. Вимога “передбачуваності” закону не зобов’язує держави приймати правові положення, в яких детально наводяться усі види поведінки, які можуть призвести до прийняття рішення про застосування заходів спостереження до особи на підставі “національної безпеки”. За своїм характером загрози національній безпеці можуть варіюватися і можуть бути непередбачуваними, і їх може бути складно визначити заздалегідь. У той же час слід підкреслити, що у питаннях, які стосуються основних прав, верховенству права суперечитиме, якщо свобода розсуду виконавчої влади у сфері національної безпеки буде висловлена у вигляді необмеженої влади. Відповідно, у законі повинен достатньо чітко вказуватися обсяг будь-якої свободи розсуду компетентного органа та спосіб її здійснення, з урахуванням законної мети відповідного заходу, надаючи особі належний захист від свавільного втручання (див. Roman Zakharov, цит. вище, § 247, з подальшими посиланнями).
120. Закон про радіоелектронну розвідку передбачає вісім цілей, для яких може бути здійснена радіоелектронна розвідка (див. пункт 12 вище). Хоча деякі з цих цілей оформлені загально, вони наведені більш детально у підготовчих текстах (пункт 13), які є ключовим джерелом законодавства Швеції. Суд визнає, що ці вісім цілей наведені у належний спосіб (див. Roman Zakharov, цит. вище, §§ 246 і 248).
121. Також важливо, що радіоелектронна розвідка, яка здійснюється за допомогою оптоволоконних кабелів, може стосуватися лише розмов, які перетинають кордон Швеції за кабелями, якими володіє провайдер послуг зв’язку. Розмови між відправником та одержувачем у Швеції не можуть перехоплюватися, незалежно від того, чи здійснюються вони в ефірі або за допомогою кабелів.
122. Дійсно, НОР може також перехоплювати сигнали у рамках своєї діяльності з розвитку, яка, як видається, переважно стосується збирання комунікаційних даних. Таке збирання здійснюється для моніторингу змін у міжнародному радіоелектронному середовищі і для розвитку власних технологій радіоелектронної розвідки НОР, і може призвести до перехоплення та прочитання даних, які не є важливими для звичайної зовнішньої розвідки. Крім того, умови пошуку, використані для перехоплення комунікаційних даних – в рамках діяльності з розвитку або поза ними – є менш точними, ніж ті, які використовуються для перехоплення вмісту розмови (див. пункт 62 вище). Однак, як зауважив Комітет радіоелектронної розвідки (пункт 63), діяльність з розвитку є ключовою для належної праці зовнішньої розвідки, і інформація, отримана у такий спосіб, може бути використана у ході звичайної зовнішньої розвідки, лише якщо таке використання відповідатиме меті, встановленій у законі, і застосовним робочим директивам. Крім того, положення, застосовні до звичайної зовнішньої розвідки, є також актуальними для діяльності з розвитку та будь-якого перехоплення комунікаційних даних, включаючи вимогу існування дозволу, виданого Судом зовнішньої розвідки (пункт 18). У цьому контексті також важливо, що у своїх доповідях за 2010 і 2016 рік Управління захисту даних не виявило доказів того, що персональні дані збиралися для інших цілей, ніж ті, які були передбачені для радіоелектронної розвідки (пункти 59‑60). За цих обставин Суд переконаний, що сфера застосування діяльності з розвитку визначена достатньо чітко.
123. З 1 січня 2013 року поліція безпеки та НОУП були уповноважені видавати детальні робочі директиви для радіоелектронної розвідки. Як зауважив заявник, у той час, як до завдань цих органів входить запобігання та розслідування злочинів, стаття 4 Закону про зовнішню розвідку явно включає використання зовнішньої розвідки для вирішення проблем у галузі правоохоронної діяльності або запобігання злочинності (див. пункт 8 вище).
124. Отже, Суд вважає, що у законі достатньо чітко визначається обсяг мандату та здійснення радіоелектронної розвідки відповідними органами, а також спосіб здійснення.
(iii) Тривалість заходів таємного спостереження
(α) Доводи сторін
125. Заявник стверджував, що законодавство відповідало мінімальним вимогам стосовно тривалості дозволу.
126. Уряд постановив, що Закон про радіоелектронну розвідку чітко регулював максимальну тривалість дозволу та умови, за яких дозвіл можна оновити.
(β) Оцінка Суду
127. Суд постановив, що не є нерозумним залишити загальну тривалість перехоплення на розсуд відповідних національних органів, які мають компетенцію для видання та оновлення дозволів на перехоплення, за умови існування належних гарантій, таких, як чітке означення у національному законодавстві періоду, після якого ордер на перехоплення буде недійсним, умов для оновлення ордеру та обставин для його скасування (див. Roman Zakharov, цит. вище, § 250).
128. Що стосується перших двох гарантій, Закон про радіоелектронну розвідку передбачає, що ордер може бути наданий не більш ніж на шість місяців, і що він може бути продовжений, після нового розгляду, на шість місяців за раз (див. пункт 23 вище). Розгляд перед оновленням дозволу необхідно розуміти як той, що охоплює повний перегляд Судом зовнішньої розвідки того, чи дотримуються усе ще умови, встановлені у статті 5 цього Закону (пункт 19). Тому Закон дає чітке означення періоду, після якого дія дозволу закінчиться, та умов для його оновлення.
129. Стосовно третьої гарантії, обставин, за яких перехоплення необхідно зупинити, законодавство не має такої ж чіткості. Не існує положень, які б зобов’язували НОР, органи, уповноважені видавати детальні робочі директиви або Суд зовнішньої розвідки скасувати місію радіоелектронної розвідки, якщо умови для неї перестали існувати, або самі заходи більше не є необхідними (див. Klass and Others, цит. вище, § 52; і Kennedy, цит. вище, § 161).
130. Однак, незважаючи на те, що відповідне законодавство є менш чітким стосовно третьої гарантії, необхідно пам’ятати, що будь-який дозвіл є дійсним упродовж не більш ніж шести місяців, і його оновлення вимагає перегляду того, чи дотримуються усе ще необхідні вимоги. Крім того, хоча до завдань Інспекції зовнішньої розвідки не входить перевірка кожного дозволу на радіоелектронну розвідку, вона може прийняти рішення про те, що перехоплення даних необхідно припинити, якщо упродовж перевірки виявиться, що перехоплення не здійснюється відповідно до дозволу (див. пункт 36 вище). Суд також прийняв до уваги той факт, що відповідні дозволи стосуються збирання даних про загрози національній безпеці; їхніми цілями не є особи, підозрювані у кримінальних правопорушеннях, у випадку чого необхідність існування конкретних положень про скасування дозволів була б більш очевидною. Крім того, як зауважило Управління захисту даних (пункт 60), НОР постійно переглядає, чи є усе ще необхідними конкретні перехоплені персональні дані для цілей радіоелектронної розвідки. За таких обставин Суд переконаний, що існують гарантії, які належним чином регулюють тривалість, оновлення та скасування перехоплення.
(iv) Дозвіл на заходи таємного спостереження
(α) Доводи сторін
131. Заявник стверджував, що хоча радіоелектронна розвідка не може здійснюватися без попереднього дозволу з боку Суду зовнішньої розвідки, неупередженість та незалежність суду від Уряду можна поставити під сумнів, і його діяльність становить повну таємницю. Слухання та рішення цього суду ніколи не оприлюднювалися. Це також стосується інформації про кількість слухань, кількість ухвалених або відхилених дозволів, будь-яке обґрунтування рішень або кількість чи тип використаних умов пошуку. Щодо складу суду, його члени обиралися на певний період, окрім голови.
132. Уряд підкреслив, що усі заходи радіоелектронної розвідки вимагали існування дозволу, виданого Судом зовнішньої розвідки, у тому числі діяльність з розвитку НОР. Уряд також підкреслив, що суд був незалежним від Парламенту та органів державної влади. Хоча діяльність суду регулювалася таємницею, представник захисту приватності був присутній для захисту інтересів осіб.
(β) Оцінка Суду
133. Як Суд раніше постановляв, дозвіл на прослуховування телефону, виданий несудовим органом, може відповідати Конвенції (див., наприклад, Klass and Others, цит. вище, § 51; і Weber and Saravia, цит. вище, § 115), за умови, якщо такий орган є достатньо незалежним від виконавчої влади (Roman Zakharov, цит. вище, § 258). Однак, верховенство права передбачає, зокрема, що втручання органів виконавчої влади у права особи повинно підлягати ефективному контролю, який зазвичай має забезпечувати орган судової влади, принаймні в якості останнього засобу, судовий контроль зазвичай пропонує найкращі гарантії незалежності, неупередженості та належної процедури (Klass and Others, цит. вищзе, §§ 55 і 56). Попередній судовий дозвіл може служити для обмеження розсуду органів влади при тлумаченні обсягу мандату та здійснення заходів радіоелектронної розвідки. Отже, вимога існування попереднього судового дозволу є важливою гарантією проти свавілля (Roman Zakharov, цит. вище, § 249). Однак, попередній дозвіл на проведення таких заходів не є абсолютною вимогою, оскільки у випадках, коли існує подальший значний судовий контроль, він може урівноважити недоліки, що стосуються дозволу (Szabó and Vissy, цит. вище, § 77).
134. Відповідно до законодавства Швеції, радіоелектронна розвідка, яку здійснює НОР, повинна бути ухвалена заздалегідь Судом зовнішньої розвідки. Головою суду є постійний суддя, у той час як заступника голови та інших членів призначає Уряд на чотирирічні строки. Ані Парламент, ані Уряд, ані інші органи не можуть втручатися у процес прийняття рішень суду, які мають обов’язкову силу.
135. Головне правило полягає в тому, що суд повинен проводити громадські слухання, але коли справа стосується таємниці, слухання можуть проводитися за зачиненими дверима. Як стверджував заявник і як підтвердив Уряд, діяльність суду на практиці охоплювалася повною таємницею. Слухання ніколи не оприлюднювалися, і всі рішення були конфіденційними. Як зауважив заявник, громадськості не розкривалася жодна інформація про кількість слухань, кількість ухвалених або відхилених дозволів, обґрунтування рішень суду або кількість чи тип умов пошуку.
136. Суд пам’ятає про той факт, що характер радіоелектронної розвідки вимагає, щоб спостереження здійснювалося таємно (див. пункт 101 вище). Тому слід визнати, що у випадках, коли існує система попереднього дозволу, делікатні аспекти діяльності органу, який видає дозвіл, не оприлюднюються так довго, як це може бути потрібно в окремій справі, для того, щоб не підірвати мету радіоелектронної розвідки. Однак, така процедура може бути прийнята, лише якщо існуватимуть належні гарантії.
137. Уряд стверджував, що відсутність прозорості компенсує присутність представника захисту даних. Цей працівник має бути присутнім упродовж судового розгляду, окрім невідкладних справ. Представник є чинним або колишнім постійним суддею або прокурором, має доступ до усіх документів у справі та може робити твердження. Він не виступає від імені особи, занепокоєної відповідним дозволом на здійснення перехоплення, а захищає інтереси загальної громадськості.
138. Суд вважає, що хоча представник захисту приватності не може оскаржувати рішення Суду зовнішньої розвідки або доповідати про будь-які виявлені недоліки контрольним органам, присутність представника упродовж розгляду в певній мірі компенсує відсутність прозорості стосовно проваджень та рішень суду.
139. Що більш важливо, враховуючи, що провадження та рішення стосовно таємного спостереження переважно вимагають існування таємниці, Суд вважає, що ключовим для захисту прав осіб у контексті режиму, який розглядається, є те, що радіоелектронна розвідка НОР підлягає системі попереднього дозволу, в силу якої НОР повинна надати для незалежного розгляду заяву про дозвіл на здійснення спостереження стосовно кожної місії щодо зібрання даних. В якості додаткової гарантії проти зловживання та свавілля, завдання щодо розгляду того, чи сумісна місія з застосовним законодавством, і чи є зібрання даних пропорційним втручанню до особистої недоторканності, було довірено органу, керівні члени якого є або були суддями. Крім того, нагляд Суду зовнішньої розвідки є широким, оскільки НОР у своїх зверненнях повинна вказувати не лише запит про відповідну місію та необхідність у відповідних даних, але й носії сигналу, доступ до яких вона потребує, і умови пошуку – або, принаймні, категорії таких умов – які будуть використані (див. пункти 18-20 вище). Тому Суд вважає, що нагляд, який здійснює Суд зовнішньої розвідки, має ключове значення у тому, що він обмежує розсуд НОР шляхом тлумачення обсягу мандату та здійснення заходів радіоелектронної розвідки.
140. В якості останнього аргументу у цьому розділі, слід зауважити, що НОР сама може надати дозвіл, якщо вона побоюється, що звернення за дозволом до Суду зовнішньої розвідки може призвести до затримок або інших незручностей ключової важливості для однієї з указаних цілей радіоелектронної розвідки. У цьому контексті Суд повторює про необхідність існування гарантій для забезпечення того, щоб такі надзвичайні заходи застосовувалися нечасто, і лише у виправданих випадках (Roman Zakharov, цит. вище, § 266). Оскільки законодавство стверджує, що після такого рішення необхідно терміново проінформувати Суд зовнішньої розвідки, який оперативно здійснить перегляд, упродовж якого дозвіл може бути змінений або відкликаний, Суд вважає цю процедуру прийнятною (див.. Szabó and Vissy, цит. вище, § 81).
141. У світлі поточних міркувань Суд вважає, що положення та процедури, які стосуються системи попереднього судового дозволу, в цілому, надають важливі гарантії проти зловживання.
(v) Процедури зберігання, доступу, розгляду, використання та знищення перехоплених даних
(α) Доводи сторін
142. Заявник стверджував, що процедури у цих аспектах регулювалися лише дуже широкими поняттями. Наприклад, не існувало загального зобов’язання щодо знищення даних.
143. Уряд зауважив, що Інспекція зовнішньої розвідки несла відповідальність за контроль за поводженням з даними та їх знищенням у цілому, і мала мандат для припинення спостереження та видання наказу про знищення даних, які були зібрані у спосіб, несумісний з дозволом, виданим Судом зовнішньої розвідки.
(β) Оцінка Суду
144. Суд зауважує, що працівники НОР, які обробляють персональні дані, проходять перевірку безпеки, і якщо до персональних даних застосовується таємниця, підлягають конфіденційності. Вони зобов’язані обробляти персональні дані у безпечний спосіб. Крім того, вони підлягатимуть кримінальним стягненням, якщо завдання стосовно обробки персональних даних виконуватимуться недобросовісно (див. пункт 30 вище). Крім того, НОР повинна забезпечити, щоб персональні дані збиралися лише для певних чітко заявлених та виправданих цілей, визначених напрямком зовнішньої розвідки за допомогою робочих директив. Оброблені персональні дані також повинні бути належними та важливими для цілі обробки. Не можна обробляти більше персональних даних, ніж необхідно для цієї мети. Необхідно прикласти усі розумні зусилля для виправлення, блокування та знищення персональних даних, які є неправильними або неповними (пункт 28).
145. Всупереч твердженням заявника, існують декілька положень, які регулюють ситуації, в яких перехоплені дані повинні бути знищені. Наприклад, дані повинні бути знищені негайно, якщо вони 1) стосуються конкретної фізичної особи і були визнані неважливими для цілей радіоелектронної розвідки, 2) захищені конституційними положеннями про таємницю для захисту анонімних авторів або медійних джерел, 3) містять інформацію, якою кримінальний підозрюваний обмінюється зі своїм адвокатом,і яку захищає привілей адвоката та клієнта, або 4) включають інформацію, дану у релігійному контексті каяття або індивідуальної поради, якщо немає виняткових підстав для розгляду такої інформації (див. пункт 25 вище). Крім того, якщо були перехоплені комунікації між відправником та одержувачем на території Швеції, незважаючи на заборону перехоплення таких комунікацій, вони повинні бути знищені, як тільки їхній національний характер стане очевидним (пункт 26). Також, якщо тимчасовий дозвіл, даний НОР, був відкликаний Судом зовнішньої розвідки, усі дані, зібрані на підставі цього дозволу, повинні бути негайно знищені (пункт 27).
146. Хоча НОР може підтримувати бази даних з необробленими матеріалами, які містять персональні дані, до року, слід враховувати, що такі дані є необробленою інформацією. Тобто, вони ще не підлягали ручній обробці. Суд визнає, що НОР необхідно зберігати необроблені матеріали до того, як вони зможуть бути оброблені вручну. У той же час Суд підкреслює важливість видалення таких даних, як тільки стане очевидно, що вони не стосуються місії радіоелектронної розвідки.
147. В цілому, розглянувши законодавство про зберігання, доступ, розгляд, використання та знищення перехоплених даних, Суд переконаний, що воно надає належні гарантії проти зловживання обробкою персональних даних, і тому служить меті захисту персональної недоторканності осіб (див.. Roman Zakharov, цит. вище, §§ 253-256; і Kennedy, цит. вище, §§ 162-164).
(vi) Умови для передання перехоплених даних третім сторонам
(α) Доводи сторін
148. Заявник стверджував, що умови передання даних знаходилися на широкому розсуді НОР, наприклад, у зв’язку з відсутністю уточнення щодо іноземних органів влади та міжнародних організацій, який можуть передаватися дані.
149. Уряд наполягав, що процедури передання даних, у тому числі передання іншим державам та міжнародним організаціям у рамках міжнародної співпраці Швеції, містили достатні гарантії, і що нагляд забезпечувала Інспекція зовнішньої розвідки.
(β) Оцінка Суду
150. Стосовно передання перехоплених даних іншим сторонам, мета радіоелектронної розвідки вимагає, щоб про це повідомлялося відповідним національним органам, зокрема, органу, який видав наказ про місію. Крім того, враховуючи контекст – збирання даних про зовнішні обставини, які можуть мати вплив на національну безпеку Швеції та інші ключові національні інтереси, а також участь країни у міжнародних операціях з безпеки – очевидно, що має існувати можливість обміну зібраними даними з міжнародними партнерами. Отже, Закон про обробку персональних даних НОР дозволяє передавати персональні дані іншим державам або міжнародним організаціям, якщо це необхідно для діяльності НОР у рамках міжнародної співпраці для безпеки та оборони, якщо цьому не заважає таємниця. Подальша свобода розсуду дається Уряду, який може вирішити передати персональні дані державам або організаціям в інших випадках, якщо це необхідно для діяльності НОР, ймовірно, у випадках, коли такому переданню зазвичай заважали б правила таємниці. В Указі про обробку персональних даних НОР додається, що таке розкриття дозволяється на користь Уряду Швеції та всеосяжної стратегії оборони Швеції, якщо воно не шкодить інтересам Швеції (див. пункт 35 вище). Відповідне положення Закону про доступ громадськості до інформації та таємницю містить виняток до правила таємниці стосовно іноземних органів та міжнародних організацій у випадках, де чітке правове положення дозволяє розкриття, або інформація в аналогічній ситуації може бути надана шведському органу, і орган, який її розкриває, вважає, що це відповідає інтересам Швеції (пункт 58). Таким чином, хоча національні інтереси беруться до уваги, законодавство не вказує на те, що необхідно враховувати можливу шкоду особі. Крім того, у законодавстві лише у дуже широких поняттях згадується, що дані можуть бути передані “іншим державам або міжнародним організаціям”; немає положення, яке б зобов’язувало одержувача захищати дані з тими ж або аналогічними гарантіями, як ті, що є застосовними відповідно до законодавства Швеції. Також, ситуація, в якій дані можуть бути передані – якщо це необхідно для “міжнародної співпраці для безпеки та оборони” – відкриває дуже широкий обсяг розсуду. На думку Суду, ця відсутність уточнення у положеннях, які регулюють передання персональних даних іншим державам та міжнародним організаціям, дає певні підстави для занепокоєння стосовно можливого порушення прав осіб. Однак, у цілому Суд вважає, що описані нижче контрольні елементи достатньо урівноважують ці недоліки.
(vii) Нагляд за реалізацією заходів таємного спостереження
(α) Доводи сторін
151. Заявник, вказуючи на висновки Державної аудиторської служби, стверджував, що документація Інспекції зовнішньої розвідки щодо її контролю була незначною, і що інспекція не мала визначених цілей.
152. Уряд заявив, що оцінка доповіді Державної аудиторської служби була передана Парламенту. Загальний висновок Служби полягав у тому, що Інспекції були дані необхідні передумови для здійснення контрольних функцій в ефективний спосіб. НОР розглянула висновки Інспекції серйозно і вжила відповідних заходів. Щодо цілей Інспекції, вони були явно вказані у законодавстві.
(β) Оцінка Суду
153. Суд визнав, що хоча у принципі бажано довіряти контроль судді, контроль з боку несудового органу може вважатися тим, що відповідає Конвенції, за умови, якщо контрольний орган є незалежним від органів, які здійснюють спостереження, і якщо він має достатньо повноважень та компетенцію для здійснення ефективного та тривалого контролю (див. Roman Zakharov, цит. вище, § 275, з подальшими посиланнями).
154. Щодо вимоги незалежності, Суд взяв до уваги спосіб призначення та правовий статус членів контрольного органу. Зокрема, він визнавав достатньо незалежними органи, які складалися з членів парламенту від більшості та від опозиції, або осіб, які могли займати судову посаду, і яких призначав Парламент або прем’єр-міністр (див. Roman Zakharov, цит. вище, § 278, з подальшими посиланнями).
155. Що стосується повноважень та компетенції контрольного органу, важливо, щоб він мав доступ до усіх відповідних документів, у тому числі закритих матеріалів, і щоб усі особи, залучені до перехоплення, мали обов’язок розкривати йому усі необхідні матеріали. Іншими важливими елементами для оцінки ефективності нагляду є повноваження наглядового органу стосовно будь-яких виявлених порушень та можливий громадський контроль за його діяльністю. Крім того, Уряд повинен продемонструвати фактичну ефективність контрольних механізмів доречними прикладами (див. Roman Zakharov, цит. вище, §§ 281-283, з подальшими посиланнями).
156. Членів Інспекції зовнішньої розвідки призначає Уряд принаймні на чотирирічні строки, голова та заступник голови є чинними або колишніми постійними суддями. Інших членів пропонують групи парламентських партій (див. пункт 37 вище). Тому Суд не вбачає підстав для того, щоб ставити під сумнів незалежність Інспекції.
157. Інспекція розглядає, зокрема, використані умови пошуку, знищення даних і те, як передаються доповіді; НОР доповідає їй про умови пошуку, які безпосередньо стосуються конкретної фізичної особи (див. пункт 36 вище). Інспекція має доступ до усіх відповідних документів (пункт 39). В її повноваженнях знаходиться прийняття рішень про те, що збирання даних необхідно зупинити, або що зібрану інформацію необхідно знищити, якщо протягом перевірки стає очевидно, що збирання не здійснювалося відповідно до конкретного дозволу; хоча досі такі заходи ще не вважалися необхідними (пункти 36 і 39). Інспекція також відповідає за носії сигналів, до цього входить забезпечення того, щоб НОР надавався доступ до носіїв сигналів лише в тій мірі, в якій такий доступ охоплюється дозволом (пункт 24). Інспекція повинна передати НОР, і, за необхідності, Уряду, будь-які висновки або пропозиції щодо заходів, до яких призвела перевірка (пункт 38).
158. Суд вважає, що нагляд Інспекції зовнішньої розвідки є особливо важливим при забезпеченні того, щоб положення, застосовні до діяльності НОР, дотримувалися, і щоб у цілому радіоелектронна розвідка здійснювалася у спосіб, який пропонує належні гарантії проти зловживання. Вищезгадані правила, які регулюють працю Інспекції, демонструють, що їй були видані достатні повноваження для здійснення цієї задачі. Крім того, всупереч твердженням заявника, Суд розуміє доповідь Державної аудиторської служби як ту, що містить висновок про те, що Інспекція могла ефективно виконувати свою контрольну функцію. Служба також визнала, що НОР серйозно ставилася до висновків та пропозицій Інспекції і вживала заходи на їх основі (див. пункт 40 вище). Тому Суд переконаний в тому, що нагляд Інспекції є ефективним, не лише у теорії, але й на практиці.
159. Суд також вважає, що діяльність Інспекції відкрита для громадського контролю. Поза межами аудиту, який здійснює Державна аудиторська служба, Інспекція надає щорічні звіти Уряду про свою діяльність; ці звіти доступні громадськості (див. пункт 38 вище).
160. Що стосується персональних даних, подальші контрольні функції здійснює Управління захисту даних. Управління за запитом отримує доступ до персональних даних, які обробляються, документації про обробку персональних даних разом із заходами безпеки, вжитими до такої обробки, і доступ до приміщень, які стосуються обробки персональних даних. Якщо Управління вважає, що персональні дані обробляються або можуть оброблятися неправомірно, воно вживає виправних заходів шляхом надання зауважень НОР. Управління може також звернутися до адміністративного суду для знищення неправомірно оброблених даних (див. пункт 43 вище). Нагляд Управління призвів до видання доповідей у 2010 і 2016 році, в яких деякі аспекти діяльності НОР були розкритиковані. Однак, питання персональних даних та персональної недоторканності, зазвичай вважалися розглянутими задовільно (пункти 59-60).
161. Беручи це до уваги, Суд вважає, що контрольні елементи, забьезпечені Інспекцією зовнішньої розвідки та Управлінням захисту даних, відповідають вимогам нагляду в цілому. Крім того, парламентський омбудсмен та канцлер юстиції мають загальну контрольну відповідальність стосовно НОР.
(viii) Інформування про таємне спостереження
(α) Доводи сторін
162. Заявник стверджував, що зобов’язання НОР щодо інформування фізичних осіб, коли використані умови пошуку безпосередньо стосувалися них, не мало практичного значення, оскільки осіб ніколи не інформували у зв’язку з таємницею.
163. Уряд підтвердив, що НОР ніколи не здійснювала інформування у зв’язку з таємницею, але заявив, що це компенсувалося засобом правового захисту, згідно з яким Інспекція зовнішньої розвідки могла за запитом фізичної особ перевірити, чи підлягали її дані радіоелектронній розвідці.
(β) Оцінка Суду
164. Суд повторює, що на практиці неможливо вимагати подальшого повідомлення у всіх справах. Діяльність або небезпека, проти якої спрямовані конкретні заходи спостереження, може тривати роками, навіть десятиріччями, після зупинення цих заходів. Подальше інформування кожної особи, на яку впливають заходи таємного спостереження, може поставити під загрозу довгострокову мету розслідування. Крім того, таке інформування може служити для виявлення робочих методів та сфер дії розвідки, і навіть ідентифікувати працівників. Тому той факт, що осіб, на яких впливають заходи таємного спостереження, у подальшому не інформують після закінчення спостереження, сам по собі не може виправдати висновок про те, що втручання не було “необхідним у демократичному суспільстві”, оскільки саме відсутність знання про спостереження забезпечує ефективність втручання. Однак, як тільки інформування можна здійснити без загрози для мети обмеження після закінчення спостереження, інформація повинна бути надана відповідним особам (див. Roman Zakharov, цит. вище, § 287, з подальшими посиланнями).
165. Пам’ятаючи про той факт, що заявник не є фізичною особою, Суд зауважує, що в теорії НОР зобов’язана інформувати фізичну особу, якщо були використані умови пошуку, які стосувалися неї, про те, коли та як відбувалося збирання даних. Особа повинна бути проінформована, як тільки це можна буде зробити без шкоди меті зовнішньої розвідки, але не пізніше, ніж через місяць після закінчення спостереження. Однак, зобов’язання про інформування не застосовується, коли справа стосується таємниці. Сторони, як і Управління захисту даних у своїй доповіді від 6 грудня 2010 року (див. пункт 59 вище) та Комітет радіоелектронної розвідки у своїй доповіді від 11 лютого 2011 року (пункт 64), підтвердили, що на практиці інформування не здійснювалося ніколи, у зв’язку з таємницею. Тому Суд погоджується з заявником про те, що зобов’язання НОР про інформування осіб не є значним на практиці.
166. Суд раніше визнавав, що відсутність вимоги про інформування суб’єкта перехоплення поштових та телефонних комунікацій на будь-якому етапі або за будь-яких обставин не відповідала Конвенції, оскільки позбавляла суб’єкт перехоплення можливості прагнути відшкодування за неправомірне втручання у свої права за статтею 8 та робила засоби правового захисту, доступні в національному законодавстві, теоретичними та ілюзорними, а не практичними та ефективними (див. Association for European Integration and Human Rights and Ekimdzhiev, цит. вище, §§ 90 і 91). На відміну від цього, у справі Kennedy відсутність вимоги про інформування суб’єкта перехоплення на будь-якій стадії відповідала Конвенції, оскільки у Сполученому Королівстві будь-яка особа, яка підозрювала, що її комунікації перехоплювалися або були перехоплені, могла звернутися зі скаргою на неправомірне перехоплення до суду, юрисдикція якого не залежала від інформування особи про існування втручання в її комунікації (Kennedy, цит. вище, § 167).
167. Беручи до уваги те, що вимога про інформування суб’єкта таємного спостереження не застосовна до заявника, і в будь-якому випадку позбавлена практичного значення, Суд вважає за розумне розглянути питання інформування разом із засобами правового захисту, доступними у Швеції; ці два питання тісно пов’язані (див. Roman Zakharov, цит. вище, § 286).
(ix) Доступні засоби правового захисту
(α) Доводи сторін
168. Заявник стверджував, що особи, які скористалися можливістю попросити Інспекцію зовнішньої розвідки провести розслідування, отримували стандартну відповідь про те, що неправомірне спостереження не відбувалося. Заявник також підкреслив, що Інспекція не мала повноважень видавати накази про сплату відшкодування. Управління захисту даних не отримувало скарги на радіоелектронну розвідку НОР з 2009 року. Щодо парламентського омбудсмена, канцлера юстиції та інших засобів правового захисту, згаданих Урядом, заявник не вбачав перспектив успіху, якщо не було доказів, які б дозволяли встановити, що особа дійсно підлягала таємному спостереженню.
169. Уряд підкреслив, що законодавство Швеції пропонувало декілька засобів правового захисту. Окрім можливості осіб попросити Інспекцію зовнішньої розвідки перевірити, чи перехоплювалися їхні комунікації, НОР була зобов’язана, за запитом, інформувати особу про те, чи оброблялися її дані, а також виправляти, блокувати або знищувати персональні дані, які оброблялися не у відповідності до закону. Крім того, зі скаргами можна було звернутися до парламентського омбудсмена та канцлера юстиції, які мали повноваження для розслідування того, чи були правильно застосовані відповідні закони, і при цьому мали право на доступ до документів судів та адміністративних органів, у тому числі Суду зовнішньої розвідки та НОР. Хоча вони не могли виносити рішення, які мали обов’язкову законну силу, їхні висновки дуже поважалися у шведському суспільстві. Також управління захисту даних, окрім своєї функції в якості контрольного органу щодо обробки персональних даних НОР, могло розглядати індивідуальні скарги. Крім того, особа могла подати позов для відшкодування шкоди, доповісти про це питання прокуратурі та подати позов задля компенсації порушень Конвенції.
170. Міжнародна комісія юристів, Норвезька секція, стверджувала, що засоби правового захисту не були доступні особам, які не були громадянами Швеції, незважаючи на той факт, що шведська радіоелектронна розвідка фокусувалася на комунікаціях, які перетинали кордон країни.
(β) Оцінка Суду
171. Як Суд зауважив вище, у справі Kennedy відсутність вимоги щодо інформування суб’єкта перехоплення відповідала Конвенції, оскільки юрисдикція суду, в якому перехоплення можна було оскаржити, не залежала від інформування (див. Kennedy, цит. вище, § 167). Відповідно до Закону про радіоелектронну розвідку, Інспекція зовнішньої розвідки, за запитом особи, розслідує, чи перехоплювалися її комунікації за допомогою радіоелектронної розвідки. Якщо так, Інспекція перевіряє, чи відповідали закону перехоплення та обробка інформації. Інспекція повинна проінформувати особу про те, що розслідування відбулося. Запит може бути зроблений юридичними та фізичними особами незалежно від національності та місця проживання (див. пункт 46 вище). Інспекція уповноважена приймати рішення про те, що збирання даних повинно зупинитися, або що дані необхідно знищити (пункт 36).
172. Тому, як і у справі Kennedy, Суд переконаний, що засіб правового захисту, який пропонує Інспекція зовнішньої розвідки, не залежить від попереднього інформування. Хоча Інспекція може приймати рішення про припинення збирання інформації або знищення даних, на відміну від справи Kennedy, вона не може видавати наказ про сплату компенсації. Однак, стосовно самої компенсації, Суд пам’ятає про те, що у Швеції існує ефективний засіб правового захисту, в силу якого компенсацію від держави можна прагнути за допомогою канцлера юстиції або національних судів (див. пункт 53 вище).
173. Інспекція перевіряє, чи перехоплювалися комунікації особи за допомогою радіоелектронної розвідки. Однак, ця перевірка обмежується питанням про те, чи відповідало збирання даних закону. Особа не може отримати інформацію про те, чи перехоплювалися її дані у дійсності, лише про те, чи був дотриманий закон. Як зазначає заявник, інспекція не надає жодних підстав для досягнутих висновків про правомірність. На відміну від цього, Суд зауважив у справі Kennedy, що публікація ухвал суду поліпшувала рівень контролю за заходами таємного спостереження у Сполученому Королівстві (див. Kennedy, цит. вище, § 167). Крім того, оскільки рішення Інспекції є остаточним, особа, яку не задовольняє відповідь Інспекції, не може прагнути перегляду, шляхом, наприклад, подання апеляції до суду.
174. Щодо засобів правового захисту, доступних безпосередньо за допомогою НОР, Суд робить наступні зауваження. НОР, за запитом, повинна інформувати особу про те, чи оброблялися її персональні дані. Запит може бути поданий раз на календарний рік. Якщо такі дані оброблялися, НОР повинна вказати, які дані про особу були оброблені, звідки вони були зібрані, мету обробки, і яким одержувачам або групам одержувачів персональні дані передавалися (див. пункт 47 вище). Суд зауважує, що таке зобов’язання призначено для зменшення підозри та занепокоєння серед загальної громадськості стосовно зловживання таємним спостереженням.
175. Однак, як і стосовно вимоги про інформування, у НОР немає зобов’язання надавати інформацію, якщо до неї застосовується таємниця. Хоча рішення НОР можуть бути оскаржені в Адміністративному суді у Стокгольмі (див. пункт 49 вище), Суд має припустити, що, як і з іншими аспектами діяльності НОР, застосовується сувора таємниця, і тому особі, яка подає запит, не надається ніяка інформація про персональні дані. За відсутності прикладів Уряду, які б демонстрували ефективність цього засобу правового захисту, Суд не може визнати, що він був важливим на практиці. Крім того, процедура НОР для видалення, блокування або знищення персональних даних (пункт 48) залежить від знання особи про те, що персональні дані були зареєстровані, та характеру таких даних. Тому цей засіб правового захисту слід вважати неефективним на практиці.
176. Однак, Суд зауважує, що законодавство Швеції передбачає декілька засобів правового захисту загального характеру, зокрема, можливість розгляду індивідуальних скарг парламентським омбудсменом та канцлером юстиції (див. пункти 51-53 вище). Ці дві установи розглядають, чи дотримуються законів та положень суди, органи влади та їхні посадові особи, і чи виконують вони свої зобов’язання, не в останню чергу в тому, що стосується прав та свобод громадян. Тому вони уповноважені контролювати працю судів та органів, які залучені до радіоелектронної розвідки, і видається, що ніщо не забороняє особі подати скаргу про втручання у її право на приватність. Ці дві установи мають право на доступ до документів та інших матеріалів для здійснення свого контролю. Хоча їхні рішення не мають обов’язкової законної сили, їхні висновки користуються великою повагою у Швеції. Вони також уповноважені порушувати кримінальні або дисциплінарні провадження проти державних посадових осіб у зв’язку з діями, вжитими при виконанні їхніх обов’язків. Що стосується канцлера юстиції, також важливо, що в останні декілька років розвинулася практика, згідно з якою канцлер може отримувати та вирішувати індивідуальні позови стосовно компенсації за заявлені порушення Конвенції (пункти 53 і 172).
Крім того, Суд зауважує, що Управління захисту даних може отримувати та розглядати індивідуальні скарги відповідно до Закону про персональні дані (пункт 54).
177. В цілому Суд зауважує, що шведські засоби правового захисту, доступні стосовно скарг на таємне спостереження, не включають звернення до суду, окрім оскарження рішення НОР про розкриття та виправлення даних, і цей засіб правового захисту Суд визнав неефективним. Крім того, як видається, у фізичної особи немає можливості бути проінформованою про те, чи перехоплювалися її комунікації у дійсності, або, в цілому, отримати обґрунтовані рішення. Отже, стосовно останнього етапу контролю за радіоелектронною розвідкою – огляду за запитом осіб після закінчення заходів – Шведська система не дає ті ж гарантії стосовно цього, як система контролю у Сполученому Королівстві, розглянута у справі Kennedy.
178. Однак, існує декілька засобів правового захисту, за допомогою яких особа може порушити розгляд правомірності заходів, вжитих упродовж дії системи радіоелектронної розвідки, зокрема, за допомогою запитів до Інспекції зовнішньої розвідки, парламентського омбудсмена та канцлера юстиції. На думку Суду, хоча сукупність засобів правового захисту і не надає повну та загальнодоступну відповідь на висунуті скаржником питання, вона повинна вважатися достатньою у даному контексті, який включає абстрактне опротестування самого режиму радіоелектронної розвідки та не стосується скарги на певний розвідувальний захід. При досягненні цього висновку Суд надає вагу попереднім стадіям контролю за режимом, у тому числі детальному судовому розгляду запитів НОР щодо дозволу на проведення радіоелектронної розвідки з боку Суду зовнішньої розвідки і значного та частково громадського контролю з боку декількох органів, зокрема Інспекції зовнішньої розвідки.
(x) Висновок
179. Суд пам’ятає про потенційно шкідливий вплив радіоелектронної розвідки на захист приватності. Однак, Суд визнає важливість такої системи, як та, що була розглянута у цій справі, для національної безпеки. Стосовно цього він зауважує аналогічні висновки Венеціанської комісії (див. пункт 69 вище). Беручи до уваги сучасні загрози світового тероризму та тяжких транскордонних злочинів, а також постійне вдосконалення комунікаційних технологій, рішення про створення режиму масового перехоплення для ідентифікації таких загроз знаходилося у межах розсуду держави-відповідача. Як зазначалося вище (пункт 112), при прийнятті рішення про необхідний тип режиму свобода розсуду є широкою.
180. Як зазначалося у той же час, свобода розсуду держави при здійсненні режиму є більш вузькою. При розгляді Шведської системи радіоелектронної розвідки in abstracto Суд урахував відповідне законодавство та іншу доступну інформацію для оцінки того, чи існували у цілому достатні мінімальні гарантії для захисту громадськості від зловживань. Хоча ця оцінка розкрила деякі галузі, де є простір для вдосконалення – зокрема, регулювання передання персональних даних іншим державам та міжнародним організаціям (див. пункт 150 вище) і практика ненадання підстав після перегляду індивідуальних скарг (пункти 173 і 177) – Суд вважає, що система не виявляє значних недоліків у своїй структурі та дії. Нормативна система була переглянута декілька разів, для поширення використання радіоелектронної розвідки, а також, що важливіше, для поліпшення захисту приватності. Вона розвинулася у такий спосіб, який дозволяє мінімізувати ризик втручання у приватність та компенсує відсутність відкритості. Зокрема, сфера застосування засобів радіоелектронної розвідки та поводження з електронними даними чітко визначаються у законі, процедура надання дозволу наведена детально та довірена судовому органу, і існують декілька незалежних органів, задачі яких включають нагляд за системою та її перегляд. Висновок Суду про те, що система не виявляє значних недоліків, є результатом розгляду in abstracto і не перешкоджає перегляду відповідальності держави відповідно до Конвенції, якщо, наприклад, заявник узнав про фактичне втручання.
181. Відповідно, здійснюючи загальну оцінку та враховуючи свободу розсуду, якою користуються державні органи при захисті національної безпеки, Суд вважає, що шведська система радіоелектронної розвідки передбачає належні та достатні гарантії проти свавілля та ризику зловживання. Відповідне законодавство відповідає вимозі “Якості закону”, а встановлене “втручання” може вважатися “необхідним у демократичному суспільстві”. Крім того, структура та дія системи є пропорційними переслідуваній меті.
Відповідно, не було порушення статті 8 Конвенції.
II. ЗАЯВЛЕНЕ ПОРУШЕННЯ СТАТТІ 13 КОНВЕНЦІЇ
182. Заявник скаржився на те, що не мав ефективного національного засобу правового захисту, за допомогою якого міг би оскаржити порушення своїх прав відповідно до статті 8 Конвенції. Заявник спирався на статтю 13 Конвенції, яка передбачає:
“Кожен, чиї права та свободи, визнані в цій Конвенції, було порушено, має право на ефективний засіб юридичного захисту в національному органі, навіть якщо таке порушення було вчинене особами, які здійснювали свої офіційні повноваження.”
183. Уряд опротестував цей аргумент.
184. Беручи до уваги висновки за статтею 8 (див., зокрема, пункт 178 вище), Суд вважає, що хоча дана скарга тісно пов’язана зі скаргою за статтею 8, і тому повинна бути проголошена прийнятною, вона не висуває окреме питання за статтею 13 Конвенції.
ЗА ЦИХ ПІДСТАВ СУД, ОДНОГОЛОСНО,
1. Приєднує до суті заперечення Уряду про відсутність статусу потерпілого у заявника та проголошує заяву прийнятною;
2. Відхиляє вищезгадане заперечення Уряду;
3. Постановляє, що не було порушення статті 8 Конвенції;
4. Постановляє, що немає потреби розглядати окремо скаргу за статтею 13 Конвенції.
Складено англійською мовою та повідомлено у письмовому виді 19 червня 2018 року, відповідно до правила 77 §§ 2 і 3 Регламенту Суду.
Стівен Філіпс Бранко Лубарда
Секретар Головуючий