П’ЯТА СЕКЦІЯ

(Заява № 50001/12)

РІШЕННЯ

Ст. 8 • Повага до приватного життя • Зобов’язання постачальників послуг зберігати персональні дані користувачів попередньо оплачених SIM-карток для мобільних телефонів та надавати доступ до них органам влади за запитом • Втручання стосовно обмеженого набору даних • Дані, отримані органами влади з належними гарантіями • Оскаржуване зберігання, пропорційне законній меті захисту національної безпеки та боротьби зі злочинністю

СТРАСБУРГ

30 січня 2020

ОСТАТОЧНЕ

07/09/2020

Дане рішення набуло статус остаточного відповідно до статті 44 § 2 Конвенції. До нього можуть бути внесені редакційні зміни.

У справі «Брейєр проти Німеччини»,

Європейський Суд з прав людини (П’ята Секція), розглядаючи справу Палатою у складі:

Yonko Grozev, головуючий,
Angelika Nußberger,
Síofra O’Leary,
Carlo Ranzoni,
Mārtiņš Mits,
Lәtif Hüseynov,
Lado Chanturia, судді,
а також Claudia Westerdiek, секретар секції,

провівши 3 грудня 2019 року слухання за зачиненими дверима,

проголошує наступне рішення, яке було прийняте в той же день:

ПРОЦЕДУРА

1.  Дану справу розпочато за заявою (№ 50001/12) проти Федеративної Республіки Німеччини, яку подали до Суду відповідно до статті 34 Конвенції про захист прав людини і основоположних свобод (надалі – «Конвенція») двоє громадян Німеччини, пан Патрік Брейєр та пан Йонас Брейєр (надалі «заявники»), 27 липня 2012 року.

2.  Уряд Німеччини (надалі «Уряд») представляли його Уповноважені, пан Г.-Й. Беренс та пані К. Бер, з Федерального міністерства юстиції та захисту споживачів.

3.  Заявники скаржилися відповідно до статей 8 та 10 на те, що оскільки вони були користувачами оплачених заздалегідь SIM-карток, їх відповідні постачальники послуг зберігали деякі з їх персональних даних у зв’язку з законним зобов’язанням, забезпеченим статтею 111 Закону про телекомунікації.

4.  21 березня 2016 року Уряду було повідомлено про заяву.

5.  Письмові доводи були отримані від Privacy International та «СТАТТЯ 19», яким заступник головуючого надав дозвіл приймати участь у провадженнях в якості третіх сторін (стаття 36 § 2 Конвенції та правило 44 § 2 Регламенту Суду).

ФАКТИ

I.  ОБСТАВИНИ СПРАВИ

A.  Передумови справи

6.  Заявники народилися у 1977 та 1982 році, відповідно, і проживають у місті Вальд-Міхельбах. Обидва заявника були членами спілки за громадянські свободи, яка проводила кампанію проти загального збереження телекомунікаційних даних. У цьому контексті обидва заявника організовували громадські протести та публікували статті, які містили критику спостереження, здійснюваного державою. Перший заявник також був членом парламенту Шлезвіг-Гольштейна.

7.  У червні 2004 року поправки до Закону про телекомунікації (Telekommunikationsgesetz) ввели зобов’язання постачальників телекомунікацій зберігати персональні дані усіх користувачів, навіть якщо такі дані не є необхідними для видання рахунків або забезпечення інших договірних умов (сплачені заздалегідь SIM-картки для мобільних телефонів). До набуття сили цими поправками постачальники телекомунікаційних послуг мали право лише збирати та зберігати ті дані, які були необхідні для контрактних стосунків. У тому, що стосувалося сплачених заздалегідь SIM-карток для мобільних телефонів, такі дані не вважалися необхідними. Ці поправки були зроблені в ході фундаментального перегляду Закону про телекомунікації, який вважався необхідним після прийняття п’яти Директив ЄС 7 березня та 12 липня 2002 року, які до липня та жовтня 2003 року було необхідно перенести на законодавство Німеччини.

8.  Обидва заявника користувалися оплаченими заздалегідь SIM-картками і повинні були відповідно до статті 111 Закону про телекомунікації (див. пункт 27 нижче) зареєструвати певні персональні дані у своїх відповідних постачальниках послуг при активації карток.

B.  Провадження у Федеральному конституційному суді

9.  13 липня 2005 року заявники подали конституційну скаргу, окрім інших положень, проти статей 111, 112 і 113 Закону про телекомунікації. Стаття 111 цього закону вводила зобов’язання збирати та зберігати телефонні номери, імена, адреси та дати народження власника картки, а також дати укладення контракту (див. пункти 27 і 28 нижче). Статті 112 і 113 Закону про телекомунікації містили автоматичну та ручну процедури доступу до даних, які зберігаються відповідно до статті 111 (див. пункти 29 і 31 нижче). Заявники стверджували, що ці статті порушували їх право на приватність кореспонденції, пошти та телекомунікацій, а також їх право на інформаційне самовизначення (Recht auf informationelle Selbstbestimmung) (див. пункт 25 нижче).

10.  Стаття 111 Закону про телекомунікації була виправлена Законом від 21 грудня 2007 року, в силу якого були включені інші ідентифікатори картки, які підлягали зобов’язанню зберігати дані абонентів, а перелік даних, які необхідно зберігати, був розширений для включення номеру відповідного приладу, якщо прилад для мобільного спілкування надавався разом з карткою для мобільного спілкування.

11.  Заявники розширили свою конституційну скаргу, яка очікувала на розгляд, включивши до неї виправлену версію Закону про телекомунікації. Згодом Федеральний конституційний суд розглянув у своєму рішенні Закон про телекомунікації у формулюванні, яке було в силі 1 січня 2008 року.

C.  Рішення Федерального конституційного суду (1 BvR 1299/05)

12.  24 січня 2012 року Федеральний конституційний суд вирішив, у тому, що стосується даної справи, що статті 111 і 112 Закону про телекомунікації були сумісні з основним законом (Grundgesetz), що стаття 113(1) у реченні 1 була сумісна з основним законом при тлумаченні, яке йому відповідало, і що статті 112 і 113 вимагали існування незалежного законодавства для отримання даних органами влади, наведеними або згаданими у тій статті (див. пункти 29 і 31 нижче). Щодо тих частин конституційної скарги заявників, які не стосуються даних проваджень, Федеральний конституційний суд постановив, що ручна процедура отримання інформації, яка наводиться у статті 113(1), не може використовуватися для атрибуції динамічних IP-адрес, і що органи безпеки можуть вимагати інформацію про коди доступу відповідно до статті 113(1), лише у випадку задоволення статутних вимог для їх використання.

13.  Суд також зауважив, що, за словами Федерального уряду, автоматична процедура отримання даних відповідно до статті 112 Закону про телекомунікації мала першочергове значення. Досвід продемонстрував, що кількість випадків ручного зібрання даних відповідно до статті 113 Закону про телекомунікації складала від 3% до 5% від кількості автоматичних запитів відповідно до статті 112 Закону про телекомунікації.

14.  Що стосується відповідних частин конституційної скарги заявників, Федеральний конституційний суд спочатку постановив, що оскаржувані положення втручалися у право на інформаційне самовизначення. Він також заявив (переклад справи англійською мовою міститься на сайті Федерального конституційного суду; посилання на юриспруденцію суду були опущені у наведених нижче цитатах):

“122. a) право на інформаційне самовизначення враховує загрози та порушення проти особистості, які можуть виникнути в умовах сучасного опрацювання даних у зв’язку з заходами, пов’язаними з інформацією. Вільний розвиток особистості передбачає захист особи від необмеженого збирання, зберігання, використання та передачі персональних даних особи. Тому цей захист охоплюється основоположним правом статті 2(1) у поєднанні зі статтею 1(1) Основного закону. Стосовно цього основоположне право гарантує авторитет особи для прийняття самостійного рішення про розкриття та використання своїх персональних даних. Гарантія основоположного права діє, зокрема, коли розвитку особистості загрожує використання та об’єднання персональних даних органами влади у процесі, який потерпілі особи не можуть ані повністю оцінити, ані контролювати. Обсяг захисту права на інформаційне самовизначення не обмежується інформацією, яка за своїм характером є делікатною, і через це має конституційний захист. Враховуючи можливості обробки та поєднання інформації, не існує жодних персональних даних, які самі по собі, незалежно від контексту їх використання, були б незначними. Зокрема, захист інформаційного самовизначення також включає персональну інформацію про процедуру надання телекомунікаційних послуг.

123.  Положення, які уповноважують урядові органи мати справу з персональними даними, як правило, створюють низку посягань, які базуються одне на одному. Стосовно цього слід відрізняти, зокрема, збирання, зберігання та використання даних. Однак, при створенні законодавства щодо обміну даних для цілей виконання урядових обов’язків, слід також відрізняти передання даних стороною, яка забезпечує інформацію, та отримання даних органом, який прагне здобути інформацію. Обмін даними відбувається зі здійсненням посягань на отримання та передачу, які відповідають одне одному, і кожне з яких вимагає існування незалежної правової основи. Образно кажучи, законодавчий орган повинен відчиняти двері не лише для передачі даних, але і для їх отримання. Лише обидві правові основи, взяті разом, можуть діяти в якості подвійної двері, яка дає можливість здійснювати обіг персональних даних. Це не виключає – відповідно до системи компетенції та вимог ясного складання проектів – можливість існування обох основ в одному положенні.

124.  b) Оскаржувані положення посягають на основоположне право скаржників на інформаційне самовизначення. По-перше, існують посягання щодо зобов’язання збирання та зберігання даних [стаття 111 Закону про телекомунікації]. Існують також незалежні подальші посягання на основоположні права з боку обов’язку постачальників послуг, який наводиться у [статті 112(1) Закону про телекомунікації] робити дані доступними у вигляді баз даних користувачів, доступ до яких можна отримати за допомогою автоматичної процедури і в силу Федерального мережевого агентства, для отримання та передачі даних до конкретного органу (див. [статтю 112(4) Закону про телекомунікації]). Відповідно, [стаття 113(1) речення 1 і 2 Закону про телекомунікації] створює незалежні посягання на основоположні права шляхом накладання на постачальників телекомунікаційних послуг зобов’язання надавати інформацію за запитами стосовно даних, які вони зберігають.

125.  Нарешті, [статті 112 і 113 Закону про телекомунікації] стосуються попереднього отримання даних органами, які мають на це право, за запитом ([статті 112(1), 112(2), 112(4) Закону про телекомунікації]) або вимогою ([стаття 113(1) Закону про телекомунікації]); це є незалежним посяганням, яке слід відрізняти від інших. Але відповідно до законодавчої концепції законодавчого органу, воно також вимагає додаткової правової основи, яка повинна міститися у федеральному або земельному законодавстві, залежно від відповідної землі. Положення [статей 112 і 113 Закону про телекомунікації] – які стосуються відрізнень між зібранням та переданням у законодавчій типології Законів про захист даних – слід розуміти виключно як правову основу для передачі даних. Вони передбачають, що органи влади, які мають право отримувати інформацію, мають незалежні повноваження щодо її збирання (...) .”

15.  У зв’язку зі статтею 111 Закону про телекомунікації Федеральний конституційний суд постановив, що зобов’язання щодо зберігання баз даних з інформацією про абонентів переслідувало законну мету, зокрема, кримінального переслідування. Хоча база даних була запобіжним засобом для збору та зберігання широкого спектру даних, і злочинці усе ще могли обходити положення за допомогою анонімного користування телекомунікаційними послугами, під фальшивими іменами або за допомогою карток для мобільних телефонів, придбаних у третіх осіб, втручання у право на інформаційне самовизначення було виправданим через відносно обмежений характер інформації, яка зберігалася.

16.  Стосовно пропорційності Федеральний конституційний суд постановив, зокрема:

“136. [Стаття 111 Закону про телекомунікації] не порушує вимоги пропорційності у вузькому сенсі. Навіть якщо це положення наказує про запобіжний збір та зберігання інформації про широкий спектр телекомунікаційних даних, у зв’язку з відносно обмеженим інформаційним змістом зібраних даних це посягання має обмежену вагу.

137.  Однак, це посягання не є тривіальним. Воно має вагу в той мірі, в якій [стаття 111 Закону про телекомунікації] робить можливим присвоювати номери телекомунікацій та абонентів майже повністю всім постачальникам телекомунікаційних послуг, і для цієї мети – індивідуалізувати такі дані, як адреса, дата народження та дата початку контракту, записувати їх та робити їх доступними для уряду. Дані формують загальну основу для інформації та виконують функцію реєстру телекомунікаційних номерів. Як правило, це робить можливим отримання усіх телекомунікаційних номерів будь-якої особи; на відміну від цього, майже кожна телекомунікаційна подія, для якої визначається телекомунікаційний номер, може також приписуватися зв’язку, а тому – й абоненту. Оскільки дані стосуються основоположних елементів телекомунікаційних подій, вони асоціюються з особливо захищеними інформаційними стосунками, конфіденційність яких є ключовою для вільного порядку. Окрім цього, відповідні дані збираються та зберігаються без причини, в якості запобіжного заходу, для того, щоб вони були доступними для здійснення обов’язків уряду.

138.  Однак, це посягання не мало дуже велику вагу. Зокрема, той факт, що дані збиралися в якості запобіжного заходу, не надає процедурі дуже значної ваги. Навіть якщо [стаття 111 Закону про телекомунікації] має широкий спектр, посягання по суті обмежується дуже вузьким набором даних, які самі по собі не надають доказів щодо конкретної діяльності осіб, і використання яких законодавчі органи обмежили цілями, визначеними більш детально. У таких справах навіть запобіжне зберігання не є автоматично особливо серйозним посяганням через те, що здійснюється без підстави. Слід визнати, запобіжне зберігання даних повинно завжди залишатися винятком з правила, і повинно бути виправданим. Але з самого початку не виключається, що запобіжне зберігання даних може бути виправданим у якості основи для здійснення різноманіття урядових обов’язків, таких, які наразі відомі у вигляді реєстру мешканців, транспорту, у вигляді Центрального реєстру транспорту ... та Центрального реєстру водійських прав ...

139.  Дані, які охоплюються [статтею 111 Закону про телекомунікації], мають обмежену доказову вартість. Вони лише дають можливість індивідуально приписувати телекомунікаційні номери відповідним абонентам, і тому – потенційним (і типовим) користувачам таких номерів. Ці дані не містять детальну приватну інформацію. Принципово інакше, ніж у випадку запобіжного зберігання усіх даних про телекомунікаційний трафік, ці дані також не містять суто персональну інформацію, і їх неможливо використовувати для створення профілю особи або відстеження пересування особи. ...

140.  Особлива вага цього посягання також не є наслідком того факту, що дані [статті 111 Закону про телекомунікації], взяті у контексті, дозволяють приписувати окремі телекомунікаційні події, відомі органам влади, і тому за певних обставин роблять можливим отримання окремих знань про їх обставини або контекст. Тому що усе, що є можливим з самого початку – це розслідування окремих подій, якщо його вимагає конкретна справа. У таких справах органи влади вже знають про обставини або зміст телекомунікаційної події, яка повинна бути індивідуалізована з даними [статті 111 Закону про телекомунікації], через те, що орган влади виявив їх упродовж розслідування у межах своєї компетенції – наприклад, на основі § 100g Кримінально-процесуального кодексу ... – з посяганням на таємницю телекомунікацій, або через те, що орган влади узнав про них через власні спостереження або з інформації від третіх сторін без такого посягання. На відміну від цього, ніяка конкретна вага посягання не є результатом того факту, що отримання телекомунікаційних номерів може супроводжуватися подальшими заходами, які за певних обставин можуть призвести до тяжких посягань, у тому числі посягань на таємницю телекомунікацій. Такі подальші посягання можуть бути можливими лише на відповідній правовій основі, яка повинна враховувати вагу відповідного посягання.

141.  Можливість приписування даних, зібраних у [статті 111 Закону про телекомунікації], служить для ефективного виконання обов’язків органів влади, визначених більш детально у положеннях про використання. Вона конституційно виправдана тим фактом, що держава може мати законний інтерес в успішному розслідуванні конкретних телекомунікаційних подій, якщо виникне така необхідність, і цей інтерес у виконанні конкретних завдань може мати значну вагу, в окремих справах навіть переважну вагу. Проти цього не можна цитувати те, що пряме спілкування без засобів телекомунікації не супроводжується порівняними посяганнями, оскільки ситуація у цьому випадку відрізняється. Оскільки пряме спілкування не користується технічними засобами зв’язку, які роблять можливим, без громадського спостереження, спілкуватися у режимі реального часу на будь-якій дистанції, воно не має порівняної основи або порівняної необхідності для такого реєстру. Традиційні повноваження розслідування, наприклад, допитування свідків або вилучення документів, є у цьому випадку більш корисними, ніж відносно спілкування за допомогою електронних засобів. Однак, буде правильним сказати, що навіть можливості сучасних засобів телекомунікації не надають виправдання для реєстрації, якщо це можливо, усіх дій громадян в якості запобіжного заходу, і створення можливості для їх відтворення у такий спосіб. Але про це не може бути й мови, коли створюється реєстр телекомунікаційних номерів, навіть якщо врахувати взаємодію з іншими доступними даними.”

17.  Стосовно статті 112 Закону про телекомунікації Федеральний конституційний суд пояснив, що це положення:

“144.  ... регулює використання даних, які зберігаються відповідно до [статті 111 Закону про телекомунікації] у вигляді автоматичної процедури зберігання інформації, в силу якої Федеральне мережеве агентство [Bundesnetzagentur] повинно передавати дані, за запитом, різним органам, наведеним у [статті 112(2) Закону про телекомунікації]. Положення є правовою основою лише для обов’язку робити дані доступними у вигляді баз даних користувачів, для доступу до цих даних та їх передачі, але не для отримання у вигляді запиту від органів влади, які мають право отримувати інформацію.”

Однак, за словами суду, загального права на збір даних може бути достатньо для запиту з боку органів, які уповноважені робити такі запити. У зв’язку з цим суд використав приклад подвійної двері (див. § 123 витягу, наведеного у пункті 14 вище), стверджуючи, що у той час, як стаття 112 Закону про телекомунікації відкриває двері для передачі інформації, вона не відкриває двері для збору інформації спеціалізованими органами.

18.  Однак, Федеральний конституційний суд постановив – за деяких підстав – що втручання, яке передбачала стаття 112 Закону про телекомунікації, було достатньо вагомим:

“156. Однак, положення набуває достатньої ваги посягання з того факту, що [стаття 111 Закону про телекомунікації] дуже спрощує отримання даних. Процедура, яка організована та автоматизована на центральному рівні, дає доступ, який видаляє практичні труднощі збору даних, і робить дані про осіб доступними без затримки або перешкод у вигляді вимог перегляду. Крім того, інформація надається без повідомлення про це телекомунікаційним підприємствам або третім сторонам. Слід визнати, той факт, що видання інформації не помічають телекомунікаційні підприємства, забезпечує обережність для осіб, чиї дані збираються; але у той же час це означає, що посягання не має ефекту стримування та контролю, до яких призводить спостереження з боку третіх сторін. Крім того, правовий перегляд з боку Федерального мережевого агентства, яке передає дані, здійснюється лише якщо для цього є особливі підстави (див. [стаття 112(4) речення 2 Закону про телекомунікації]). Однак, оскільки орган, який отримує інформацію, не зобов’язаний надавати підстави для свого запиту, такі підстави майже ніколи не виникатимуть.

157.  Вага також надається тому факту, що законодавчий орган виклав цілі даних у дуже широкому формулюванні. Дані можуть передаватися органам, наведеним у [статті 112(2) Закону про телекомунікації] для здійснення їх статутних обов’язків. Це обмежується лише для правоохоронних органів відповідно до [статті 112(2) № 2 Закону про телекомунікації], і відповідно до [112(2) №№ 3 і 7 того Закону] митних органів, наведених у тому Законі. Але у зв’язку з цим важливо, що дані можуть видаватися правоохоронним органам, відповідно до [статті 112 Закону про телекомунікації], лише для цілей захисту від небезпеки, що виключає запобіжне використання. У зв’язку з відповідними обов’язками органів влади, які мають право на отримання інформації, обов’язки Федерального мережевого агентства також не дуже обмежені. Зокрема, не існує чітких порогів посягання у статуті; зокрема, обов’язки щодо інформації повністю розкриваються у відповідній компетенції органів влади. Однак, той факт, що інформація може надаватися лише в той мірі, в якій вона є необхідною для виконання обов’язків, не створює об’єктивний стримуючий чинник. Це забезпечує, щоб дозволи на отримання інформації не видавалися рутинним чином заздалегідь, а видавалися лише у випадках, коли інформацію, яка дійсно потрібна для виконання обов’язків, не можна було отримати у більш легкий, але не менш ефективний спосіб.

...

163.  Однак, [стаття 112 Закону про телекомунікації] в дійсності не обмежує отримання інформації випадками, які виправдані конкретною правовою основою, що стосується автоматизованої процедури збору інформації, але також приймає запити, які ґрунтуються на повноваженнях про збирання даних. Внаслідок цього на неконституційному рівні немає вимоги щоб вище вказувалися органи, які мають право на інформацію, [стаття 112(2) Закону про телекомунікації] та подальші умови для отримання даних. ...”

19.  Однак, Федеральний конституційний суд зробив висновок, що стаття 112 Закону про телекомунікації була пропорційною:

“155.  [Стаття 112 Закону про телекомунікації] задовольняє вимогам принципу пропорційності. Це положення служить для підвищення ефективності виконання обов’язків органів, наведених у [статті 112(2) Закону про телекомунікації], і є придатною та необхідною для цього. Вона також є пропорційною у вузькому сенсі.

...

158.  Незважаючи на той факт, що вага посягання є значною, положення є пропорційним. Щонайменш, обмежується кількість органів влади, які мають право отримувати інформацію. Цілі, для яких їм видається інформація відповідно до [статті 112(2) Закону про телекомунікації], є центральними обов’язками, що стосуються гарантії безпеки. З огляду на підвищену важливість електронних засобів зв’язку та супутні зміни людського поводження у плані зв’язку в усіх галузях життя, органи влади у значній мірі залежать від щонайменш ускладненої можливості мати змогу індивідуально приписати телекомунікаційні номери. Стосовно цього, рішення законодавчого органу, яке не підлягає опротестуванню, якщо дозволяє передачу даних для розслідування кримінальних порушень та небезпеки, полягає в тому, щоб спостерігати за подіями, які становлять загрозу, з метою інформування уряду та громадськості, або забезпечення допомоги у надзвичайних ситуаціях. Оскільки такі розслідування часто повинні проводитися швидко та без знання відповідних осіб, автоматична процедура збору інформації має для них особливу значність. Підвищення ефективності праці судів також є аргументом, вага якого підтримується таким положенням.

159.  Обмежена доказова вартість даних має центральне значення для урівноваження інтересів: Вони надають інформацію лише про приписування окремих телекомунікаційних номерів абонентам. Навіть якщо у конкретних контекстах збору даних може виникнути делікатна інформація, інформаційний зміст цієї інформації залишається обмеженим, і, крім цього, залежить від подальших розслідувань, законність яких слід оцінювати відповідно до різних положень.

...

163.  ... Оскільки темою є передача даних органом влади і матеріальні умови для цього, у тому числі те, що стосується осіб, чиї дані збираються, викладаються з достатньою чіткістю у [статті 112 Закону про телекомунікації], то, враховуючи обмежену вагу посягання положень, це є сумісним з принципом пропорційності та відповідає структурі положень про автоматичне отримання даних про транспорт та власника транспорту з реєстру транспорту ... і положень про передачу даних у законі про реєстрацію мешканців ... . Слід визнати, це не змінює відповідальність законодавчого органу – і у зв’язку з цим, коли це актуально, землі – за конституційне формулювання положень про зібрання даних, які не є темою даних проваджень. ...”

Крім цього, Суд підкреслив відповідальність державних органів влади за застосування цих положень у такий спосіб, який враховує вимоги статті 112(1) і (2) Закону про телекомунікації, і, зокрема, вимогу про те, щоб збір інформації був необхідним навіть в окремій справі, і подальші вимоги принципу пропорційності.

20.  Стосовно статті 113 Закону про телекомунікації Конституційний суд постановив, що це положення можна було розуміти лише як положення про видання, і що була необхідна додаткова правова основа для отримання даних органами влади. Суд також зауважив, що не існувало обмежень стосовно органу, який міг подати запит – винятком були лише обов’язки органу – і що цілі для отримання даних наводилися у широкому формулюванні. Однак, він зробив висновок, що з огляду на обмежену інформацію, яку можна отримати з відповідних даних, і важливість цих даних для ефективного виконання обов’язків, сфера дії цього положення не підлягала опротестуванню.

21.  Зокрема, Федеральний конституційний суд стверджував:

“176. Однак, [стаття 113(1) речення 1 Закону про телекомунікації] розкриває ручну процедуру дуже широко. Це положення дозволяє отримувати інформацію для цілей захисту від небезпеки, переслідування за кримінальні порушення або нормативні правопорушення та виконання обов’язків розвідки. У зв’язку з цим положення також не має певних порогів посягання, які б визначали його обсяг більш детально. Замість цього воно завжди дозволяє отримувати інформацію в окремих випадках, якщо вона є необхідною для виконання наведених вище обов’язків.

177.  Однак, з огляду на інформаційний зміст відповідних даних, який сам по собі є обмеженим, і їх велику важливість для ефективного виконання обов’язків, сфера дії цього положення конституційно не підлягає опротестуванню. У зв’язку з цим слід враховувати той факт, що це положення не дозволяє передавати інформацію без розбору. Навпаки, існує ефект обмеження у тому факті, що інформація відповідно до [статті 113(1) речення 1 Закону про телекомунікації] використовується в окремих випадках та повинна бути необхідною. Стосовно захисту від небезпеки, який законодавчий орган не визначив чітко як той, до якого входять засоби запобігання ризикам, розсудливе тлумачення виявляє, що «конкретна небезпека» у розумінні «загальних положень» (Generalklauseln) закону про поліцію є вимогою для такої інформації. Слід визнати, цей поріг є низьким, і він також допускає підозру у небезпеці. Це положення також не обмежує заздалегідь інформацію даними про осіб, які ставлять під загрозу громадську безпеку у розумінні загального поліцейського та нормативного законодавства. Однак, це не позбавляє його обмеження у такій мірі, яка була б непропорційною з огляду на обмежену вагу посягання. Зокрема, це не дозволяє використання інформаційних засобів у якості загальних засобів для законного адміністративного забезпечення, але в окремих справах це вимагає, щоб відповідний обов’язок мав характер, пов’язаний з безпекою. Дійсно, у тому, що стосується служби розвідки, яка зазвичай діє заздалегідь, незалежно від конкретних небезпек, не існує порівняного порогу посягання. Але це є виправданим у силу обмежених обов’язків служби розвідки, які не спрямовані безпосередньо на поліцію, а призначені для надання звітів політично відповідальним державним органам або громадськості. Окрім цього, з вимоги необхідності у конкретній справі слідує, що інформація відповідно до [статті 113(1) речення 1 Закону про телекомунікації] має бути необхідною для успішного розслідування конкретної дії або групи, яка вимагає спостереження з боку служби безпеки. У той мірі, в якій інформація стосується переслідування за кримінальні порушення та нормативні правопорушення, вимога необхідності в окремій справі означає, що повинна існувати хоча б початкова підозра.

178.  Взяті разом, ці пороги не є високими, але вони є конституційно прийнятними. У зв’язку з цим слід взяти до уваги у порівнянні до [статті 112 Закону про телекомунікації], що ручна інформаційна процедура тягне за собою певні процесуальні зусилля з боку органу, який отримує інформацію, що заохочує цей орган отримувати інформацію лише у випадках, коли у цьому є необхідність.”

22.  Стосовно загальних засобів правового захисту проти інформаційних запитів за статтями 112 і 113 Закону про телекомунікації Федеральний суд постановив:

“186.  ... Немає ніяких заперечень того факту, що з оглядом на легку вагу посягання ніякі конкретні провадження щодо правового відшкодування не спрямовані проти інформаційних запитів за [статтями 112 і 113 Закону про телекомунікації]. Правового відшкодування у зв’язку з цим можна прагнути відповідно до загальних правил – зокрема, разом з провадженнями для правового відшкодування проти остаточного рішення органів влади.

187.  Вимоги принципу пропорційності не породжують загальну вимогу, того, щоб особам, інформація щодо яких збиралася, було повідомлено про інформацію відповідно до [статей 112 і 113 Закону про телекомунікації], ...”

23.  У своєму рішенні Федеральний конституційний суд встановив, що 26.6 мільйонів наборів даних – про особистість абонентів або телефонні номери – були створені у 2008 році відповідно до статті 112 Закону про телекомунікації. Це число не відрізняє набори даних, які стосуються користувачів карток, сплачених заздалегідь, від інших абонентів.

II.  ВІДПОВІДНЕ НАЦІОНАЛЬНЕ ЗАКОНОДАВСТВО ТА ПРАКТИКА

A.  Основний закон

24.  Положення Основного закону, у тому, що стосується даної справи, передбачають:

Стаття 1

“(1) Людська гідність є недоторканною. Поважати та захищати її є обов’язком державної влади. ...”

Стаття 2

“(1) Кожен має право на вільний розвиток своєї особистості в той мірі, в якій він не порушує права інших осіб і не посягає на конституційний строй чи моральний закон. ...”

Стаття 10

“(1) Таємниця листування, а також поштового, телеграфного та телефонного зв’язку є недоторканною.

(2) Обмеження можуть вводитися лише відповідно до закону. Якщо обмеження служить для захисту вільного демократичного порядку, існування безпеки Федерації або землі, закон може передбачати, зо особа не має бути проінформована про обмеження, і замість звернення до судів справу можуть переглянути органи влади та допоміжні агентства, призначені законодавчим органом.”

25.  У своєму рішенні від 15 грудня 1983 року (№№ 1 BvR 209, 269, 362, 420, 440, 484/83) Федеральний конституційний суд встановив право на інформаційне самовизначення та постановив:

“У контексті сучасного опрацювання даних захист особи від необмеженого збору, зберігання, використання та розкриття її персональних даних охоплюється правом на захист прав особистості відповідно до статті 2 § 1 у зв’язку зі статтею 1 Основного закону. Це основне право гарантує стосовно цього можливість особи визначити у принципі розкриття та використання своїх персональних даних.”

26.  У своєму рішенні від 2 березня 2010 року (№ 1 BvR 256, 586, 263/08) Федеральний конституційний суд вирішив щодо конституційності положень, які транспонують Директиву ЄС 2006/24/EC (див. пункти 49 і 50 нижче) на законодавство Німеччини (статті 113a, 113b Закону про телекомунікації, стаття 100g Кримінально-процесуального кодексу), що зобов’язує постачальників послуг зберігати упродовж обмеженого часу (6 місяців) усі дані про трафік телефонних послуг та дозволяє використовувати такі дані для кримінального переслідування. Суд проголосив статтю 113a Закону про телекомунікації (зобов’язання зберігати) неконституційною та недійсною, через порушення права на захист приватності телекомунікацій. Він постановив, що обов’язок зберігання у передбаченій мірі не був автоматично неконституційним із самого початку. Однак, він не був структурований способом, адаптованим до принципу пропорційності. Оскаржувані положення не гарантували ані належну безпеку даних, ані належне обмеження цілей використання даних. Вони також не задовольняли конституційним вимогам прозорості та законного захисту.

B.  Закон про телекомунікації

27.  Стаття 111 Закону про телекомунікації зобов’язує постачальників послуг збирати та зберігати певні персональні дані користувачів. Тим самим вона створює основу для інформаційних запитів за статтями 112 і 113 Закону про телекомунікації. Вона передбачає наступне, у формулюванні, актуальному у той час та у відповідній частині:

“(1) Будь-яка особа, яка на комерційній основі надає або допомагає у наданні телекомунікаційних послуг, в тим самим виділяє телефонні номери або надає телекомунікаційні з’єднання для телефонних номерів, виданих третіми сторонами, або інші ознаки відповідного виділення, для інформаційних процедур відповідно до статей 112 і 113, повинна збирати, до активації, та зберігати без неналежних затримок:

1. Телефонні номери та інші відповідні ознаки карток;

2. Імена та адреси власників карток;

3. Дати народження у випадку фізичних осіб;

4. У випадку зафіксованих ліній – адреси ліній;

5. Якщо прилад для мобільного зв’язку надається разом з карткою для мобільного зв’язку, номер цього приладу, а також;

6. Ефективну дану контракту.

Навіть якщо такі дані не є необхідними для оперативних цілей; якщо це відомо, дата закінчення контракту також повинна зберігатися. Речення 1 також застосовується до справ, у яких дані не входять в каталоги абонентів. ... Особа з обов’язками, які наводяться у статті 1 або реченні 3, яка отримує повідомлення про будь-які зміни, повинна виправити дані без непотрібної затримки; У зв’язку з цим особа, яка має обов’язки відповідно до пункту 1, повинна збирати та зберігати ще не записані дані, якщо збір таких даних є можливим без особливих зусиль. Спосіб зберігання даних для процедури отримання інформації, яку передбачає стаття 113, не є суворо визначеним.

(2) Якщо постачальник послуг відповідно до підпункту (1) речення 1 або речення 3 діє разом з партнером по продажу, такий партнер повинен збирати дані відповідно до підпункту (1) речення 1 і 3 згідно з передумовами, встановленими у цих підпунктах, і повинен передавати постачальникові послуг, без неналежної затримки, ці та інші дані, зібрані відповідно до статті 95; підпункт (1) речення 2 застосовується відповідно. Речення 1 також застосовується до даних щодо змін, у той мірі, в якій партнер з продажу отримує повідомлення про них у ході нормальних ділових операцій.

(3) Дані у розумінні підпункту (1) речення 1 або 3 не мають збиратися згодом щодо контрактних стосунків, які існують на день набуття сили цим положенням, окрім випадків, наведених у підпункті (1) речення 4.

(4) Дані необхідно знищувати після закінчення календарного року, який слідує за роком, коли закінчилися контрактні стосунки.

...”

28.  У липні 2016 року до статті 111 Закону про телекомунікації були внесені зміни, до яких входило зобов’язання постачальників послуг перевіряти перед збиранням особисті дані користувачів мобільних телефонів. Пред’явлення посвідчення особи, паспорту або інших офіційних документів, які підтверджують особу, вимагається при першій реєстрації даних. Ця поправка вважалася необхідною для подальшого обмеження доступних можливостей для обходу зобов’язань, передбачених статтею 111 Закону про телекомунікації. Відповідно до підготовчих матеріалів поправки (Публікація Федерального парламенту (Bundestagsdrucksache) № 18/8702, стор. 22) була встановлена значна кількість неправдивих даних у базах даних постачальників телекомунікацій, що мало характер масового явища. Тому запити відповідних органів за статтями 112 і 113 Закону про телекомунікації у багатьох процедурах не призвели до отримання корисної інформації. Конституційна скарга, яка опротестовує сумісність цієї поправки з Основним законом, наразі очікує на розгляд у Федеральному конституційному суді (№ 1 BvR 1713/17).

29.  Стаття 112 Закону про телекомунікації встановлює автоматичну процедуру для даних, які зберігаються відповідно до статті 111 Закону про телекомунікації. Відповідно до цієї процедури, постачальники телекомунікаційних послуг повинні надавати дані у такий спосіб, щоб їх могло отримати федеральне мережеве агентство без знання постачальників. Крім того, необхідно забезпечити можливість отримання даних з використанням неповних даних пошуку або пошук за функцією подібності. Відповідні частини статті 112 Закону про телекомунікації передбачали, на той час:

“(1) Будь-яка особа, яка надає загальнодоступні телекомунікаційні послуги, має зберігати, без непотрібної затримки, дані, зібрані відповідно до речень 1, 3, і 4 статті 111(1), і підпункту (2) файли даних користувачів .... Ця особа має забезпечити:

1. щоб Федеральне мережеве агентство могло, у будь-який час, отримати дані з файлів даних користувачів за допомогою автоматики, у межах Німеччини;

2. щоб дані можна було отримати з використанням неповних даних пошуку або пошуку за допомогою функції подібності.

Зобов’язана особа та її уповноважені підлеглі повинні забезпечити, за допомогою технічних та організаційних заходів, щоб їм не було відомо про отримання даних. Федеральне мережеве агентство може отримувати дані з баз даних користувачів лише в той мірі, в якій знання про ці дані є необхідним:

1. для переслідування за адміністративні порушення відповідно до даного Закону або Закону про недобросовісну конкуренцію [Gesetz gegen den unlauteren Wettbewerb];

2. для обробки запитів щодо інформації, поданих органами, встановленими у підпункті (2).

Орган, який подає запит, повинен без непотрібної затримки перевірити, в якій мірі він потребує дані, які передаються у відповідь на його запит, і повинен без непотрібної затримки видалити будь-які дані, які він не потребує; це також застосовується до Федерального мережевого агентства, стосовно отримання даних згідно з реченням 7 № 1.

(2) Інформація з файлів даних користувачів відповідно до підпункту (1) надається:

1. судам та органам кримінального переслідування;

2. Федеральним та земельним правоохоронним органам для цілей уникнення небезпеки;

3. Управлінню митних кримінальних розслідувань [Zollkriminalamt] та управлінням митних розслідувань [Zollfahndungsämter] для кримінальних проваджень, і Управлінню митних кримінальних розслідувань для підготування та здійснення заходів з статтею 23a Закону про службу митних розслідувань [Zollfahndungsdienstgesetz];

4. Федеральним та земельним управлінням захисту Конституції, Федеральному управлінню контррозвідки збройних сил, і Федеральній службі розвідки;

5. центрам надзвичайних служб, відповідно до статті 108, і центру служби з надзвичайних ситуацій на морі № “124 124”;

6. Федеральному огляду фінансового нагляду; і

7. органам митної адміністрації для цілей, наведених у статті 2(1) Закону про незадекларовану працю [Schwarzarbeitsbekämpfungsgesetz] через центральні довідкові бюро.

як передбачається у підпункті (4), у будь-який час, у той мірі, в якій інформація є необхідною для виконання законних функцій і запити подаються до Федерального мережевого агентства за допомогою автоматичної процедури.

...

(4) За запитом органів влади, наведених у підпункті (2), Федеральне мережеве агентство повинно отримати та передати органу, який подав запит, відповідні набори даних з файлів даних користувачів, згідно з підпунктом (1). Воно повинно розглядати прийнятність передачі лише у випадках, коли для цього є особливі підстави. Відповідальність за таку прийнятність полягає на:

1. Федеральному мережевому агентстві, у випадках, які регулюються реченням 7 № 1 підпункту (1); і

2. органах, наведених у підпункті (2), у випадках з речення 7 № 2 підпункту (1),.

Для цілей нагляду компетентного органу за захистом даних Федеральне мережеве агентство повинно записувати, для кожного отримання, час, дані, які використовуються у процесі отримання, отримані дані, інформацію, яка чітко ідентифікує осіб, що отримують дані, а також орган, який подав запит, його номер для посилання, та інформацію, яка чітко ідентифікує особу, яка подала запит. Використання записаних даних для будь-яких інших цілей не дозволяється. Записані дані повинні бути стерті через рік.

...”

30.  У червні 2017 року був виданий нормативний акт про процедуру автоматичного отримання даних відповідно до статті 112 Закону про телекомунікації. Цей нормативний акт про інформацію щодо даних абонентів (Kundendatenauskunftsverordnung) описує більш детально можливості подавати запити про інформацію на основі адреси, імені або телефонного номеру абонента, та викладає необхідну інформацію, яку необхідно надати для запитуваного пошуку. Крім цього, він регулює пошуки на основі неповних даних та пошуки, здійснені за допомогою функції подібності. Нормативний акт супроводжувався технічною директивою, яка встановлювала технічні стандарти для пошуків та для спілкування між Федеральним мережевим агентством, органами, які подають запити й постачальниками телекомунікаційних послуг.

31.  Стаття 113 Закону про телекомунікації передбачає ручну процедуру подання запиту про дані, які зберігаються відповідно до статті 111 Закону про телекомунікації. На відміну від автоматичної інформаційної процедури, це передбачає обов’язок самих постачальників послуг надавати інформацію органам, які мають право її отримувати. Так само, як і у випадку автоматичної інформаційної процедури, слід підтримувати конфіденційність щодо інформаційних запитів відносно осіб, яких стосуються дані. Стаття 113 не містить вичерпний перелік органів, які мають право отримувати інформацію. Інформаційні запити дозволяються у той мірі, в якій вони є необхідними для переслідування за кримінальні порушення та нормативні правопорушення, для уникнення небезпеки (Gefahrenabwehr) та для виконання обов’язків розвідки. Стаття 113 Закону про телекомунікації передбачала, на той час, у відповідних частинах:

“(1) Будь-яка особа, яка на комерційній основі надає або допомагає надавати телекомунікаційні послуги, може використовувати, відповідно до положень підпункту (2), дані, зібрані відповідно до пунктів 95 і 111 згідно з цим положенням Закону, для виконання своїх зобов’язань щодо надання інформації органам, наведеним у пункті 3. ...

(2) Інформація може надаватися лише в той мірі, в якій один з органів, наведених у пункті 3, подав запит про неї, у текстовій формі, в окремих випадках для переслідування за кримінальні чи адміністративні порушення, для уникнення загрози громадській безпеці або порядку, і для виконання законних функцій органів, наведених у підпункті (3) № 3, цитуючи положення закону, який дозволяє цьому органу у такий спосіб збирати дані, наведені у підпункті (1); ніякі дані згідно з підпунктом (1) не можуть передаватися жодному іншому державному або неурядовому органу. У разі безпосередньої небезпеки інформація може також надаватися, якщо запит робиться не у текстовій формі. У такому випадку запит пізніше необхідно підтвердити у письмовій формі; це необхідно зробити без непотрібної затримки. Відповідальність за прийнятність запиту про інформацію полягає на органах, наведених у підпункті (3).

(3) Далі наведені «органи» у розумінні підпункту (1):

1. Органи, відповідальні за переслідування за кримінальні чи адміністративні порушення;

2. Органи, відповідальні за запобігання загрозам громадської безпеці або громадському порядку;

3. Федеральні та земельні управління захисту Конституції, Федеральне управління контррозвідки збройних сил, і Федеральна служба розвідки.

(4) Особа, яка на комерційній основі надає або допомагає надавати телекомунікаційні послуги, повинна передавати дані для надання за запитом у повному обсязі та без непотрібних затримок. Сторони, зобов’язані надавати інформацію, повинні підтримувати конфіденційність щодо запитів про інформацію та надання інформації по відношенню до сторін, яких запит стосується, та третіх сторін.

...”

C.  Правова основа для автоматичних інформаційних заходів відповідно до статті 112 Закону про телекомунікації

32.  Інформаційні запити у контексті кримінальних розслідувань прокуратури та поліції згідно з автоматичною процедурою за статтею 112 Закону про телекомунікації, регулюються Кримінально-процесуальним кодексом (Strafprozessordnung). Застосовні статті передбачали, на той час і у відповідній частині:

Стаття 160

“(1) Як тільки прокуратура отримує відомості про підозру у кримінальному порушенні, за допомогою кримінальної скарги або інших засобів, вона повинна розслідувати факти для прийняття рішення про те, чи слід пред’являти державне звинувачення.

(2) Прокуратура встановлює не лише викривальні, але й виправдовуючі обставини, і повинна забезпечити збір доказів, які ризикують бути втрачені.

(3) Розслідування прокуратури також поширюється на обставини, які є важливими для визначення правових наслідків дії. Для цієї цілі прокуратура може скористатися послугами агентства допомоги суду.”

Стаття 161

“(1) Для цілі, вказаної у статті 160 § 1 – § 3 [КПК], прокуратура має право запитувати інформацію від усіх органів влади та починати будь-які розслідування, самостійно або за допомогою органів влади та посадових осіб у поліції, якщо немає інших статутних положень, які конкретно регулюють їх повноваження. Органи влади та посадові особи у поліції зобов’язані виконати такий запит або наказ прокуратури та у таких справах мають право подавати запити про інформацію до усіх органів.”

Стаття 163

“(1) Органи влади та посадові особи у поліції проводять розслідування кримінальних порушень та вживають усі необхідні заходи, які не можуть бути відкладені, для запобігання приховуванню фактів. З цією метою вони мають право подавати запити, і у випадку необхідності, вимоги про надання інформації до усіх органів, а також проводити будь-які розслідування якщо не існують інші статутні положення, які конкретно регулюють їх повноваження.

...”

33.  Для запобігання скоєнню злочинів Федеральне управління з розслідування злочинів (Bundeskriminalamt) та Федеральна поліція (Bundespolizei) можуть запитувати про інформацію відповідно до автоматизованої процедури за статтею 112 Закону про телекомунікації, відповідно до положень наступних законів, які на той час передбачали:

Стаття 2 Закону про Федеральне управління з розслідування злочинів [Bundeskriminalamtgesetz]

“(1) Як центральне управління інформаційно-розвідувальної системи поліції, Федеральне управління з розслідування злочинів підтримує поліцію на земельному та федеральному рівні у запобіганні та розслідуванні злочинів міжобласної, міжнародної або значної важливості

(2) Федеральне управління з розслідування злочинів для виконання цього завдання:

1. може збирати та аналізувати усі дані, необхідні для цієї цілі;

...”

Стаття 7 Закону про федеральне управління з розслідування злочинів

“(1) Федеральне управління з розслідування злочинів може зберігати, змінювати або використовувати персональні дані, у той мірі, в якій це вимагає його завдання як центрального органу.

(2) Федеральне управління з розслідування злочинів може, у той мірі, в якій це необхідно для виконання своїх завдань як центрального управління відповідно до статті 2(2) № 1, збирати дані за допомогою запитів про інформацію з державних та недержавних органів для підтримки існуючих інформаційних або інших аналітичних цілей. ...”

Стаття 21 Закону про Федеральну поліцію [Bundespolizeigesetz]

“(1) Федеральна поліція може, якщо у цьому розділі не вказується зворотне, збирати персональні дані у той мірі, яка необхідна для виконання її завдань.

(2) Для запобігання злочинам збір персональних даних дозволяється у той мірі, в якій факти виправдовують припущення про те, що:

1. особа скоїть тяжкий злочин у розумінні статті 12(1), і інформація необхідна для запобігання цьому злочину; або

2. фізична особа перебуває або перебуватиме у контакті з особою, описаною у підпункті 1, у такий спосіб, який дозволяє очікувати, що захід призведе до запобігання злочину, описаному у підпункті 1, і запобігання злочину в інший спосіб буде неможливим або занадто ускладненим. ”

34.  Положення, аналогічні статті 21 Закону про Федеральну поліцію, існують для земельної поліції. На додаток, цій поліції також дозволяється збирати персональну інформацію у той мірі, яка є необхідною для уникнення небезпеки та для захисту прав інших осіб.

35.  Відповідно до статей 7 і 27 Закону про службу митного розслідування Німеччини, Управління митних кримінальних розслідувань та Управління митних розслідувань уповноважені збирати персональну інформацію у той мірі, яка необхідна для виконання їх завдань. Крім цього, митні органи можуть збирати інформацію відповідно до статті 163 Кримінально-процесуального кодексу (див. пункт 32 вище) при розслідуванні незадекларованої роботи.

36.  Федеральні та земельні управління захисту Конституції можуть подавати запити про інформацію, яка зберігається відповідно до статті 111 Закону про телекомунікації, в той мірі, в якій це необхідно для виконання їх завдань і не забороняється Федеральним законом про захист даних.

37.  Служба контррозвідки збройних сил може, відповідно до статті 4 Закону про службу контррозвідки збройних сил, збирати інформацію, яка необхідна для її завдань, окрім оцінки стану безпеки офісів та приміщень під управлінням Міністерства оборони, союзницьких сил або міжнародних військових штабів.

38.  Відповідно до статті 2(1) Закону про Федеральну службу розвідки, Федеральна служба розвідки може подавати запити про інформацію, яка зберігається відповідно до статті 111 Закону про телекомунікації, у той мірі, в якій це необхідно та не забороняється Федеральним законом про захист даних:

- для захисту своїх працівників, приміщень та джерел від діяльності, яка створює загрози для безпеки, та діяльності спецслужб;

- для перевірки майбутнього або поточного персоналу;

- для перевірки вхідної інформації, необхідної для виконання її завдань.

D.  Правова основа для ручних запитів про інформацію згідно зі статтею 113 Закону про телекомунікації

39.  У зв’язку з тим, що Федеральний конституційний суд розкритикував статтю 113(1) Закону про телекомунікації (див. пункти 12 і 20-21 вище), декілька нових положень, які регулюють отримання даних органами з використанням ручної процедури відповідно до статті 113, були введені у червні 2013 року, після подання цієї заяви.

40.  Інформаційні запити з боку прокуратури та поліції згодом регулювалися у статті 100j Кримінально-процесуального кодексу, яка у відповідній частині передбачала:

“(1) У той мірі, яка є необхідною для встановлення фактів або місця знаходження обвинуваченої особи, інформація про дані, зібрані відповідно до статей 95 і111 Закону про телекомунікації, може вимагатися від будь-якої особи, яка надає або допомагає надавати телекомунікаційні послуги на комерційній основі (стаття 113(1) речення 1 Закону про телекомунікації).

...

(5) На основі інформаційного запиту відповідно до підпункту (1) або (2), будь-яка особа, яка надає або допомагає надавати телекомунікаційні послуги на комерційній основі, повинна без затримок передавати дані, які вимагаються, для надання інформації. ...”

Аналогічні положення були створені для Федеральної поліції, Федерального управління розслідування злочинів та Служби митних розслідувань.

41.  Федеральному управлінню захисту Конституції дозволяється подавати запити щодо даних, зібраних відповідно до статті 111 Закону про телекомунікації, до постачальників служб відповідно до статті 8d Федерального закону про захист Конституції (Bundesverfassungsschutzgesetz), який у відповідній частині передбачає:

“У той мірі, яка є необхідною для виконання завдань, Федеральне управління захисту Конституції може вимагати від будь-якої особи, яка надає або допомагає надавати телекомунікаційні послуги на комерційній основі, інформацію про дані, зібрані відповідно до статей 95 і 111 Закону про телекомунікації (стаття 113(1) речення 1 Закону про телекомунікації). ...”

Аналогічні положення були введені для земельних управлінь захисту Конституції. Крім того, правова основа для ручних запитів щодо інформації з боку Військової контррозвідувальної служби та Федеральної служби розвідки посилається на статтю 8d Федерального закону про захист Конституції.

E.  Судовий перегляд слідчих заходів

42.  Відповідно до статті 98 § 2 Кримінально-процесуального кодексу, особа, яка постраждала від вилучення предмету без участі суду, може звернутися до суду для отримання рішення у будь-який час.

43.  Відповідно до усталеної прецедентної практики Федерального суду (див., наприклад, справу № 5 ARs (VS) 1/97, 5 серпня 1998 року), аналогічне застосування статті 98 § 2 Кримінально-процесуального кодексу пропонує можливість судового перегляду усіх закінчених слідчих заходів, проведених прокурором, якщо запити становили тяжке втручання в основоположні права.

F.  Закон про захист даних

44.  Відповідні частини Федерального закону про захист даних (Bundesdatenschutzgesetz), який був у силі 24 травня 2018 року, передбачають:

“Стаття 1 Мета та обсяг

(1) Метою цього Закону є захист осіб від порушення їх права на приватність у результаті регулювання їх персональних даних.

(2) Цей Закон застосовується до збору, опрацювання та використання персональних даних

1. органами влади Федерації,

2. земельними органами влади, якщо захист даних не охоплюється земельним законодавством, і якщо відповідна земля

a) виконує федеральне законодавство, або

b) діє в якості органів судової влади, і не розглядає адміністративні питання,

...

(3) У випадках, коли інші федеральні закони застосовуються до персональних даних та їх публікації, вони переважають над положеннями цього Закону. Обов’язок дотримуватися правових зобов’язань таємниці або професійної чи спеціальної службової таємниці, не заснованої на законі, залишається незмінним.

Стаття 2 Державні та приватні органи

(1) ‘Державні органи Федерації’ – це органи влади, судові органи та інші публічно-правові установи Федерації, прямих федеральних корпорацій, установ та фондів публічного права, а також їх асоціацій незалежно від їх правових форм. ...

Стаття 3a Скорочення даних та економія даних

Персональні дані повинні збиратися, оброблятися та використовуватися, а системи обробки даних повинні обиратися та використовуватися відповідно до мети збору, обробки та використання якомога меншого обсягу персональних даних. Зокрема, персональні дані повинні бути анонімними або отримувати псевдоніми, якщо це дозволяє мета, з якою вони збираються та/або у подальшому обробляються, і в той мірі, в якій необхідні для цього зусилля не є непропорційними бажаній меті захисту.

Стаття 4 Законність збору, обробки та використання даних

(1) Збір, обробка та використання персональних даних можуть бути законними, лише якщо їх дозволяє або наказує здійснити цей Закон або інший закон, або якщо суб’єкт даних дає згоду.

(2) З суб’єкту даних збираються персональні дані. Вони можуть збиратися без участі суб’єкта даних лише якщо

1. це дозволено відповідно до закону, або

2. a) дані повинні збиратися з інших осіб або органів у зв’язку з характером адміністративної задачі, яку необхідно виконати, чи комерційною метою, або

b) збір даних з суб’єкту даних вимагатиме непропорційних зусиль, і ніщо не вказує на те, що це негативно позначиться на вищих законних інтересах суб’єкта даних.

Стаття 13 Збір даних

(1) Збір персональних даних буде законним, коли знання про такі дані є необхідним для виконання контролером своїх завдань.

(1 a) Якщо персональні дані збираються з приватного органу, а не суб’єкта даних, цей орган необхідно проінформувати про правове положення, яке вимагає надання інформації, або про те, що надання інформації є добровільним.

Стаття 19 Доступ до даних

(1) За запитом суб’єктам даних необхідно надавати інформацію про

1. записані дані, які стосуються них, у тому числі інформацію про джерело даних,

2. одержувачів або категорії одержувачів, яким передаються дані, а також

3. мету записування даних.

У запиті необхідно вказувати тип персональних даних, про які дається інформація. Якщо персональні дані не записуються ані в автоматичній формі, ані у неавтоматичних системах профілювання, ця інформація повинна надаватися лише якщо суб’єкт даних надає інформацію, яка дозволяє знайти дані, і якщо необхідний ефект не є непропорційним інтересу суб’єкту даних в інформації. Контролер користується свободою розсуду при визначенні процедури для надання такої інформації, і зокрема – форми, в якій вона надається.

(2) Підпункт 1 не застосовується до персональних даних, які записуються лише через те, що їх не можна стерти у зв’язку з правовими, статутними або контрактними положеннями про зберігання, або лише для цілей моніторингу захисту даних або охорони даних, і якщо надання інформації потребуватиме непропорційних зусиль.

(3) Якщо надання інформації стосується переведення персональних даних до органів захисту Конституції, до Федеральної служби розвідки, Військової контррозвідувальної служби та, у той мірі, що стосується безпеки Федерації, до інших органів Федерального міністерства оборони, таке надання інформації буде законним лише зі згодою цих органів.

(4) Інформація не надається, якщо

1. інформація поставить під загрозу впорядковане виконання завдань, за які відповідає контролер,

2. інформація може поставити під загрозу громадську безпеку чи порядок, або в інший спосіб завдасть шкоду Федерації чи землі, або

3. дані або факт їх записування, зокрема у зв’язку з вищими законними інтересами третьої сторони, повинні зберігатися у таємниці відповідно до закону або у зв’язку з характером даних, і тому інтерес суб’єкту даних в отриманні інформації не буде переважати.

(5) Не потрібно надавати ніякі підстави для відмови у наданні інформації, якщо надання актуальних та законних підстав для відмови поставить під загрозу мету відмови у наданні інформації. У такому випадку суб’єкта даних необхідно проінформувати про можливість зв’язатися з Федеральним комісаром з питань захисту даних та свободи інформації.

(6) Якщо інформація не надається суб’єкту даних, за запитом суб’єкта даних ця інформація надається Федеральному комісару з питань захисту даних та свободи інформації, окрім випадків, коли відповідний федеральний орган влади в окремій справі вважає, що це поставить під загрозу безпеку Федерації або землі. Інформація, яку Федеральний комісар надає суб’єкту даних, не може вказувати на знання, доступні контролеру, без його згоди.

(7) Інформація повинна надаватися безкоштовно.

Стаття 19a Повідомлення

(1) Якщо дані збираються без знання суб’єкта даних, він має бути проінформований про такий збір, особистість контролера та мету збору, обробки чи використання. Суб’єкт даних також повинен бути проінформований про одержувачів або категорії одержувачів, окрім випадків, коли він має очікувати передання даних таким одержувачам. Якщо передання заплановане, повідомлення про нього повинно надаватися не пізніше першого передання.

(2) Повідомлення не є необхідним, якщо

1. суб’єкт даних вже має цю інформацію,

2. повідомлення суб’єкта даних потребує непропорційних зусиль, або

3. записування або передання персональних даних явно наводиться у законі.

Контролер повинен у письмовій формі передбачити умови, за яких повідомлення не надається відповідно до пункту 2 або3.

(3) Пункти 19 (2) – (4) застосовуються відповідно.

Стаття 21 Звернення до Федерального комісару з питань захисту даних та свободи інформації

Будь-яка особа, яка вважає, що її права були порушені у зв’язку зі збором, обробкою чи використанням персональних даних державними органами Федерації, може звернутися до Федерального комісару з питань захисту даних та свободи інформації. Це застосовується до збору, обробки чи використання персональних даних федеральними судами, лише якщо вони діють в адміністративних питаннях.

Статті 24 Моніторинг з боку Федерального комісару з питань захисту даних та свободи інформації

(1) Федеральний комісар з питань захисту даних та свободи інформації контролює дотримання державними органами Федерації положень цього Закону та інших положень про захист даних.

(2) Моніторинг Федерального комісара також поширюється на

1. персональні дані, отримані державними органами Федерації, які стосуються змісту та конкретних обставин поштового зв’язку і телекомунікацій, а також

2. персональні дані, що підлягають професійній або спеціальній службовій таємниці, особливо таємниці податків, відповідно до статті 30 Фіскального кодексу Німеччини. ...”

45.  Аналогічні положення існують на земельному рівні. На додаток, землі мають власних комісарів з питань захисту даних, які контролюють дотримання земельною владою відповідних законів про захист даних.

III.  ПРАВО ТА ПРАКТИКА ЄВРОПЕЙСЬКОГО СОЮЗУ

A.  Хартія основних прав Європейського союзу

46.  Статті 7 і 8 Хартії передбачають:

Стаття 7 – Повага до приватного та сімейного життя

“Кожен має право на повагу до свого приватного та сімейного життя, на недоторканність свого житла та таємницю кореспонденції.”

 

Стаття 8 – Захист персональних даних

“1. Кожен має право на захист своїх персональних даних.

2. Такі дані повинні оброблятися на справедливій основі для вказаних цілей і на основі згоди відповідної особи, або на іншій законній основі, наведеній у законодавстві. Кожна особа має право на доступ до даних, які збиралися стосовно неї, і право досягати виправлення цих даних.

3. Дотримання цих правил підлягає контролю з боку незалежного органу.”

B.  Вторинне законодавство ЄС щодо захисту даних

47.  Директива про приватність та електронні комунікації (Директива 2002/58/EC про обробку персональних даних та захист приватності у секторі електронних комунікацій), прийнята 12 липня 2002 року, передбачає, у пунктах 2 і 11:

“(2) Ця директива має на меті поважати основні права і дотримується принципів, визнаних, зокрема, Хартією основних прав Європейського союзу. Зокрема, ця директива має на меті забезпечити повну повагу до прав, наведених у статтях 7 і 8 Хартії.

(11) Як і Директива 95/46/EC, ця Директива не розглядає питання захисту основних прав та свобод, які стосуються діяльності, яка не регулюється законодавством Співтовариства. Тому вона не змінює існуючий баланс між правом особи на приватність та можливістю держав-учасників вживати заходи, наведені у статті 15(1) цієї Директиви, необхідні для захисту громадської безпеки, оборони, державної безпеки (у тому числі економічного добробуту держави, коли діяльність стосується питань державної безпеки) та виконання кримінального законодавства. Відповідно, ця Директива не впливає на можливість держав-учасників здійснювати законне перехоплення електронних комунікацій, або, за необхідності, вживати інші заходи для будь-якої з цих цілей та згідно з Європейської конвенцією про захист прав людини та основоположних свобод, у тлумаченні Європейського Суду з прав людини. Такі заходи можуть бути доречними, пропорційно до заявленої мети та необхідності у демократичному суспільстві, і повинні супроводжуватися належними гарантіями відповідно до Європейської конвенції про захист прав людини та основоположних свобод.”

48.  Директива також передбачає, у відповідній частині:

Стаття 1 – Обсяг і мета

“1. Ця Директива гармонізує положення держав-учасників, які необхідні для забезпечення належного рівня захисту основних прав та свобод, і зокрема – права на приватність, стосовно обробки персональних даних у секторі електронних комунікацій, і для забезпечення вільного переміщення таких даних та обладнання для електронного спілкування і послуг у Співтоваристві.

2. Положення цієї Директиви наводять подробиці та доповнюють Директиву 95/46/EC для цілей, наведених у пункті 1. Крім того, вони передбачають захист законних інтересів абонентів, які є юридичними особами.

3. Ця директива не застосовується до діяльності, яка виходить за межі Договору, який встановлює Європейське співтовариство, такої, як діяльність, яку охоплюють пункти V і VI Договору про Європейський союз, і, у будь-якому випадку, діяльності, яка стосується громадської безпеки, оборони, державної безпеки (у тому числі економічного добробуту держави, коли діяльність стосується питань державної безпеки) та діяльності держави у галузях кримінального права.”

Стаття 15 – Застосування певних положень Директиви95/46/EC

“1. Держави-члени можуть прийняти законодавчі заходи для обмеження обсягу прав та обов’язків, передбачених у статті 5, статті 6, статті 8(1), (2), (3) і (4), а також статті 9 цієї Директиви, якщо таке обмеження є необхідним, доречним і пропорційним заходом у демократичному суспільстві для захисту національної безпеки (тобто, державної безпеки), оборони, громадської безпеки, та запобігання, розслідування, виявлення та переслідування за кримінальні порушення або недозволене використання систем електронного зв’язку, як наводиться у статті 13(1) Директиви 95/46/EC. Для цього держави-учасники можуть, зокрема, приймати законодавчі заходи, які передбачають зберігання даних упродовж певного періоду, виправданого на підставах, наведених у цьому пункті. Усі заходи, на які йде посилання у цьому пункті, повинні здійснюватися відповідно до загальних принципів закона Співтовариства, у тому числі ті, на які йде посилання у статті 6(1) і (2) Договору про Європейський союз.”

49.  15 березня 2006 року була прийнята Директива про зберігання даних (Директива 2006/24/EC про зберігання даних, які створюються або обробляються у зв’язку з наданням загальнодоступних послуг електронного зв’язку або комунікаційних мереж загального користування, і внесення поправок до Директиви 2002/58/EC) . Вона передбачала, у відповідній частині:

Стаття 1 – Предмет і сфера застосування

“1. Ця Директива спрямована для гармонізації положень держав-учасників про обов’язки постачальників загальнодоступних послуг електронного зв’язку або комунікаційних мереж загального користування стосовно зберігання певних даних, які вони створюють або обробляють, для забезпечення того, щоб дані були доступними для цілей розслідування, виявлення та переслідування за тяжкі злочини, визначені кожною державою-учасником відповідно до свого законодавства.

2. Ця Директива застосовується до даних про трафік та місце знаходження фізичних та юридичних осіб і до пов’язаних даних, необхідних для ідентифікації абонента або зареєстрованого користувача. Вона не застосовується до змісту електронних повідомлень, у тому числі інформації, з якою можна ознайомитися за допомогою мережі електронного зв’язку.”

Стаття 3 – Обов’язок зберігати дані

“1. В якості відступу від статей 5, 6 і 9 Директиви 2002/58/EC, Держави-Учасники повинні вжити заходи для забезпечення того, щоб дані, вказані у статті 5 цієї Директиви, зберігалися відповідно до її положень, у той мірі, в якій ці дані створюються або обробляються постачальниками загальнодоступних послуг електронного зв’язку або комунікаційних мереж загального користування в їх юрисдикції у процесі постачання відповідних комунікаційних послуг.”

50.  По суті директива встановила обов’язок постачальників послуг загальнодоступного електронного зв’язку або комунікаційних мереж загального користування зберігати всі дані про трафік та місце знаходження упродовж періодів від шести місяців до двох років. Вона була спрямована на забезпечення того, щоб дані були доступними для цілей розслідування, виявлення та переслідування за тяжкі злочини, визначені законодавством кожної держави-учасника. Обов’язок щодо зберігання тягнув за собою, зокрема, дані, необхідні для відстеження та виявлення джерела і призначення зв’язку, тобто номер телефону та ім’я і адресу абонента або зареєстрованого користувача (стаття 5 § 1 (a) & (b)).

C.  Відповідна прецедентна практика Суду Європейського союзу (надалі “СЄС”)

51.  У рішенні, прийнятому Судом Європейського Союзу (надалі “СЄС”) 8 квітня 2014 року у справі Digital Rights Ireland і Seitlinger and Others (об’єднані справи C-293/12 і C-594/12, EU:C:2014:238) СЄС проголосив недійсною Директиву про зберігання даних (див. пункти 49 і 50 вище).

52.  СЄС також розвивав свою прецедентну тпрактику щодо цифрових прав у справі Tele2 Sverige і Tom Watson and Others (об’єднані справи C-203/15 і C-698/15, EU:C:2016:970), рішення прийняте 21 грудня 2016 року). Суд зауважив, зокрема, (§§ 103‑111, посилання на подальші рішення СЄС були опущені у наведеній нижче цитаті):

“103.  ... хоча ефективність боротьби з тяжкими злочинами, зокрема, організованою злочинністю та тероризмом, може у значній мірі залежати від використання сучасних технік розслідування, така мета загального інтересу, якою б фундаментальною вона ні була, не може сама по собі виправдати те, що таке національне законодавство, яке б передбачало загальне та невибіркове зберігання усіх даних про місцезнаходження та трафік, повинно вважатися необхідним для цілей цієї боротьби.

104.   Стосовно цього слід у першу чергу зауважити, що вплив такого законодавства, у світлі його характерних особливостей, описаних у пункті 97 даного рішення, полягає в тому, що зберігання даних про трафік та місцезнаходження є правилом, у той час як система, упроваджена Директивою 2002/58, вимагає, щоб зберігання даних було винятком.

105.  По-друге, таке національне законодавство, як те, що розглядається в основних провадженнях, яке узагальнено охоплює всіх абонентів та зареєстрованих користувачів і всі засоби електронного спілкування, а такж усі дані про трафік, не передбачає розрізнення, обмеження або винятків відповідно до переслідуваної мети. Воно є всеосяжним у тому, що воно стосується усіх осіб, які використовують послуги електронного зв’язку, незважаючи на те, що ці особи навіть косвенно не перебувають у ситуації, яка може призвести до кримінальних проваджень. Тому воно застосовується навіть до осіб, стосовно яких немає жодних доказів, здатних свідчити, що їх поводження може мати зв’язок, навіть непрямий або віддалений, з тяжкими кримінальними порушеннями. Крім того, воно не передбачає жодних винятків і застосовується навіть до осіб, зв’язок яких, відповідно до правил національного права, підлягає обов’язку професійної таємниці.

106.  Таке законодавство не вимагає існування стосунку між даними, які необхідно зберігати, і загрозою громадській безпеці. Зокрема, воно не обмежується зберіганням (i) даних, які стосуються конкретного періоду та/або географічної області та/або групи осіб, які можуть, тим чи іншим шляхом, бути залученими до тяжкого злочину, або (ii) осіб, які можуть за інших підстав сприяти, боротьбі зі злочинністю, шляхом зберігання їх даних.

107.  Тому таке національне законодавство, як те, що є темою основних проваджень, перевищує обмеження того, що є необхідним, і не може вважатися виправданим у демократичному суспільстві, як того вимагає стаття 15(1) Директиви 2002/58, прочитана у світлі статей 7, 8 і 11 та статті 52(1) Хартії.

108.  Однак, стаття 15(1) Директиви 2002/58, прочитана у світлі статей 7, 8 і 11 та статті 52(1) Хартії, не заважає державам-учасникам приймати законодавство, яке дозволяє, в якості запобіжного заходу, цільове зберігання даних про трафік та місцезнаходження, з метою боротьби з тяжкою злочинністю, якщо зберігання даних обмежується суворо необхідним у тому, що стосується категорій даних, які підлягають зберіганню, засобів комунікації, відповідних осіб і періоду зберігання.

109.  Для задоволення вимог, наведених у попередньому пункті даного рішення, це національне законодавство повинно, по-перше, наводити чіткі та точні правила, які регулюють обсяг та сферу застосування такого заходу зберігання даних, та надають мінімальні гарантії, щоб особи, дані яких зберігаються, мали достатні гарантії ефективного захисту своїх персональних даних від ризику неправомірного використання. Зокрема, це законодавство повинно вказувати, за яких обставин та умов зберігання даних може застосовуватися у якості запобіжного заходу, тим самим забезпечуючи, щоб такий захід обмежувався тим, що є суворо необхідним.

110.  По-друге, у тому, що стосується матеріальних умов, які повинно задовольнити національне законодавство, яке у контексті боротьби зі злочинністю ухвалює, в якості запобіжного заходу, зберігання даних про трафік та місцезнаходження, якщо слід забезпечити, щоб зберігання даних обмежувалося суто необхідним, слід зауважити, що хоча ці умови можуть відрізнятися, відповідно до характеру заходу, вжитого для цілей запобігання, розслідування, виявлення та переслідування за тяжкі злочини, зберігання даних усе одно повинно продовжувати відповідати певним об’єктивним критеріям, які встановлюють зв’язок між даними, які підлягають зберіганню, та переслідуваною метою. Зокрема, необхідно продемонструвати, що ці умови є такими, які дійсно описують на практиці обсяг цього заходу, і тому – осіб, на яких він впливає.

111. Що стосується встановлення обмежень на такий захід стосовно осіб та ситуацій, які потенційно можуть зазнати впливу, національне законодавство повинно ґрунтуватися на об’єктивних доказах, які роблять можливою ідентифікацію осіб, дані яких можуть розкрити зв’язок, хоча б непрямий, з тяжкими кримінальними порушеннями, і тим чи іншим шляхом сприяти боротьбі з тяжкою злочинністю або запобіганню тяжкому ризику громадській безпеці.”

53.  Після останнього рішення національні суди у декількох державах-учасниках Євросоюзу зверталися до СЄС з запитами про попередні ухвали, прагнучи пояснення щодо обсягу та ефекту рішення Tele2 Sverige. Дві з цих справ усе ще очікують на розгляд (див. Privacy International, C-623/17 і Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX, C‑520/18).

54.  У третій справі, Ministerio Fiscal (C-207/16, EU:C:2018:788), СЄС запитали, чи слід тлумачити статтю 15(1) Директиви 2002/58, у світлі статті 7 і 8 Хартії, як ту, що означає, що доступ державних органів до даних для цілей ідентифікації власників SIM-карток, активованих у крадених мобільних телефонах, таких, як прізвища, імена і, за необхідності, адреси власників карток, тягне за собою втручання в їх основні права, закріплені у цих статтях Хартії, яке є достатньо серйозним для обмеження такого доступу, в галузі запобігання, розслідування, виявлення і переслідування за кримінальні порушення, для цілей боротьби з тяжкою злочинністю, і якщо так, за якими критеріями слід оцінювати тяжкість відповідного злочину.

55.  У своєму рішенні від 2 жовтня 2018 року СЄС постановив, у пункті §§ 51 і подальших (посилання на подальші рішення СЄС були опущені у наведеній нижче цитаті):

“51. Що стосується існування втручання у ці основні права, слід враховувати, ... що доступ державних органів влади до таких даних становить втручання в основне право на повагу до приватного життя, закріплене у статті 7 Хартії, навіть за відсутності обставин, які б дозволили визначити це втручання як “серйозне”, незалежно від того, чи є інформація про приватне життя делікатною, або чи зазнала зацікавлена особа будь-яких незручностей. Такий доступ також становить втручання в основне право на захист персональних даних, гарантоване у статті 8 Хартії, оскільки він становить обробку персональних даних.

(...)

56. Відповідно до принципу пропорційності, тяжке втручання може бути виправданим, у галузі запобігання, розслідування, виявлення та переслідування за кримінальні порушення, лише метою боротьби зі злочинністю, яка також повинна бути визначена як “серйозна”.

57. На відміну від цього, коли втручання, до якого призводить такий доступ, не є тяжким, такий доступ може бути виправданий метою запобігання, розслідування, виявлення та переслідування за “кримінальні порушення” у цілому.

58. Тому слід перш за все визначити, чи повинно вважатися “тяжким”, у даній справі, у світлі фактів справи, втручання в основні права, закріплені у статтях 7 і 8 Хартії, яке буде наслідком доступу поліції до відповідних даних.

59. Стосовно цього, єдиною метою запиту в основних провадженнях, в силу якої поліція прагнула, для цілей кримінального розслідування, дозволу суду на доступ до персональних даних, які зберігали постачальники послуг електронного зв’язку, була ідентифікація власників SIM-карток, активованих у дванадцятиденний період з IMEI-кодом вкраденого мобільного телефону. (...) цей запит прагне доступу лише до телефонних номерів, які відповідають цим карткам, і до даних, які стосуються особистості власників цих карток, таких, як їх прізвища, імена, та, за необхідності, адреси. Ці дані не стосуються (...) розмов, які відбувалися з краденого мобільного телефону, або його знаходження.

60. Тому очевидно, що дані, яких стосується відповідний запит про доступ в основних провадженнях, лише дозволяють пов’язати SIM-картку або картки, активовані з краденого мобільного телефону в конкретний період, з особистістю власників цих карток. Без перехресного посилання цих даних з даними, що стосуються розмов з цих карток та даних про знаходження, ці дані не дають можливість узнати дату, час, тривалість та одержувачів розмов, здійснених з відповідної картки або карток, а також місця, де відбувалися розмови, або частоту розмов з конкретними особами в даний період. Тому ці дані не дозволяють скласти точні висновки про приватне життя осіб, яких ці дані стосуються.

61. За цих обставин доступ лише до даних, на які посилався запит в основних провадженнях, не може вважатися “тяжким” втручанням в основні права осіб, чиїх даних це стосується.”

IV.  МІЖНАРОДНЕ ПРАВО І ПРАКТИКА

56.  Спеціальний доповідач ООН з питань сприяння та захисту права на свободу думок та їх вираження, Девід Кей, рекомендував у своїй Доповіді Раді з прав людини про використання шифрування та анонімності для здійснення прав на свободу думки та висловлення поглядів у цифровий вік (A/HRC/29/32, 22 травня 2015 року, § 60):

“Держави не повинні обмежувати шифрування та анонімність, які полегшують та часто роблять доступним право на свободу думки та висловлення поглядів. Повна заборона не є необхідною та пропорційною. ... Держави повинні утриматися від того, щоб ідентифікація користувачів була умовою для доступу до цифрового спілкування та онлайн-служб, і від вимог про реєстрацію SIM-карток для користувачів мобільних телефонів.”

57.  Конвенція Ради Європи 1981 року для захисту фізичних осіб щодо автоматичної обробки персональних даних (надалі “Конвенція про захист даних”), яка була ратифікована усіма державами-членами Ради Європи, і набула сили для Німеччини 1 жовтня 1985 року, формулює низку ключових принципів для збору та обробки персональних даних. Відповідно до статті 1, мета Конвенції полягає у забезпеченні поваги до прав та основних свобод кожного, і зокрема, права на приватність, стосовно автоматичної обробки персональних даних, які стосуються відповідної особи. Конвенція включає наступні базові принципи:

Стаття 2 – Визначення

“Для цілей цієї Конвенції:

a термін "персональні дані" означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі – суб'єкт даних);

b термін "файл даних для автоматизованої обробки" означає будь-який масив даних, що піддається автоматизованій обробці;

c термін "автоматизована обробка" включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних та (або) арифметичних операцій із цими даними, їхню зміну, знищення, вибірку або поширення;”

Стаття 5 – Якість даних

“Персональні дані, що піддаються автоматизованій обробці, повинні:

a) отримуватися та оброблятися сумлінно та законно;

b) зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями;

c) бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються;

d) бути точними та в разі необхідності оновлюватися;

e) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються.”

Стаття 7 – Безпека даних

“Для захисту персональних даних, що зберігаються у файлах даних для автоматизованої обробки, уживають відповідних заходів безпеки, спрямованих на запобігання випадковому чи несанкціонованому знищенню або випадковій утраті, а також на запобігання несанкціонованим доступу, зміні або поширенню.”

Стаття 8 – Додаткові гарантії для суб’єкта даних

“Будь-якій особі надається можливість:

a) з'ясувати існування файлу персональних даних для автоматизованої обробки, його головні цілі, а також особу та постійне місце проживання чи головне місце роботи контролера файлу;

b) отримувати через обґрунтовані періоди та без надмірної затримки або витрат підтвердження або спростування факту зберігання персональних даних, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані в доступній для розуміння формі;

c) вимагати у відповідних випадках виправлення або знищення таких даних, якщо вони оброблялися всупереч положенням внутрішнього законодавства, що запроваджують основоположні принципи, визначені у статтях 5 і 6 цієї Конвенції;

d) використовувати засоби правового захисту в разі невиконання передбаченого в пунктах "b" і "c" цієї статті прохання про підтвердження або у відповідних випадках про надання, виправлення або знищення персональних даних.”

Стаття 9 – Винятки та обмеження

“Винятки з положень статей 5, 6 та 8 цієї Конвенції дозволяються лише в рамках, визначених цією статтею.

Відхилення від положень статей 5, 6 та 8 цієї Конвенції дозволяється тоді, коли таке відхилення передбачене законодавством Сторони та є в демократичному суспільстві необхідним заходом, спрямованим на:

a) захист державної та громадської безпеки, фінансових інтересів Держави або на боротьбу з кримінальними правопорушеннями;

b) захист суб'єкта даних або прав і свобод інших людей.

Обмеження стосовно здійснення прав, визначених у пунктах "b", "c" та "d" статті 8, можуть установлюватися законодавством стосовно файлів персональних даних для автоматизованої обробки, що використовуються для цілей статистики або наукових досліджень у випадках явної відсутності небезпеки порушення недоторканості приватного життя суб'єктів даних.”

Конвенція про захист даних наразі проходить процес оновлення, зокрема, з метою кращого вирішення питань, які є наслідками використання нових інформаційних та комунікаційних технологій. Протокол з поправками до Конвенції про захист даних був відкритий для підписання Договірними Державами цієї Конвенції 10 жовтня 2018 року, і був підписаний Німеччиною того ж дня.

V.  ПОРІВНЯЛЬНЕ ПРАВО

58.  З порівняльно-правової доповіді про практики тридцяти чотирьох держав-учасників щодо зберігання інформації про абонентів, які користуються оплаченими заздалегідь SIM-картками, видається, що п’ятнадцять держав вимагають, щоб постачальники телекомунікацій зберігали такі дані, і жодна з опитаних держав наразі не дозволяє органам влади підтримувати власні бази персональних даних про абонентів телекомунікацій. Крім того, існують розбіжності у тому, що стосується тривалості зберігання таких даних, мети, для якої вони можуть використовуватися, і процесуальних вимог, які необхідно виконати для доступу до даних. Зокрема, більшість держав передбачають у своєму законодавстві перелік конкретних органів, яким дозволяється мати доступ до інформації про абонентів, і обмежують прийнятні цілі розслідуванням злочинів або запобіганням загрозам громадському порядку. Крім того, у більшості держав процесуальні вимоги для доступу до збереженої інформації про абонентів включають наказ суду або прокурора, зазвичай якщо дані про абонентів використовуються переважно для розслідування злочинів. Нарешті, лише менша частина держав вимагають, щоб абонентам повідомляли про доступ до їх персональних даних.

ПРАВО

ЗАЯВЛЕНЕ ПОРУШЕННЯ СТАТТІ 8 І СТАТТІ 10 КОНВЕНЦІЇ

59.  Заявники скаржилися на те, що оскільки вони були користувачами сплачених заздалегідь SIM-карток для мобільних телефонів, їх відповідні постачальники телекомунікаційних послуг зберігали певні дані у зв’язку з правовим зобов’язанням, передбаченим у статті 111 Закону про телекомунікації. Вони посилалися на своє право на повагу до приватного життя та кореспонденції, яке передбачає стаття 8 Конвенції, і свою свободу висловлення поглядів згідно зі статтею 10 Конвенції, які передбачають, у відповідних частинах:

Стаття 8

“1.  Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.

2.  Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи ... для запобігання заворушенням чи злочинам, ... .”

Стаття 10

“1.  Кожен має право на свободу вираження поглядів. Це право включає свободу дотримуватися своїх поглядів, одержувати і передавати інформацію та ідеї без втручання органів державної влади і незалежно від кордонів. ...

2.  Здійснення цих свобод, оскільки воно пов'язане з обов'язками і відповідальністю, може підлягати таким формальностям, умовам, обмеженням або санкціям, що встановлені законом і є необхідними в демократичному суспільстві в інтересах національної безпеки, ... громадської безпеки, для запобігання заворушенням чи злочинам, ... .”

A.  Сфера застосування та оцінка Суду

1.  Права Конвенції, які підлягають оцінці

60.  У першу чергу Суд зауважує, що заявники посилалися на статтю 8 (право на повагу до приватного життя та кореспонденції) та статтю 10 (право на анонімне спілкування в якості аспекту свободи висловлення поглядів). Однак, він також зауважує, що заявники у Суді лише опротестували сумісність статті 111 Закону про телекомунікації з Конвенцією. Вони не скаржилися прямо на на статтю 112 чи 113 цього Закону, які також були темою їх скарги до Федерального конституційного суду, або на будь-які подальші заходи щодо спостереження або перехоплення телефонного спілкування. Однак, це не означає, що ці положення Закону про телекомунікації не будуть важливими при оцінці пропорційності оскаржуваного втручання і того, як воно діє на практиці (пункти 97‑101 нижче).

61.  Стаття 111 Закону про телекомунікації стосується лише зберігання даних про абонентів, а саме, телефонного номеру, імені та адреси, дати народження, дати контракту. Це положення не поширюється на дані про трафік, дані про місце або дані, які розкривають зміст розмов. Крім того, заявники не стверджували, що їх розмови перехоплювалися, або що їх комунікації підлягали будь-якому іншому заходу спостереження. Оскаржуване втручання стосується зберігання вказаного набору даних та потенційного доступу національних органів влади до цього набору даних за певних визначених обставин. Тому, хоча Суд приймає до уваги обставини зберігання даних у даній справі та його близькість до телефонного зв’язку і права на кореспонденцію, він вважає, що ключовим аспектом скарги заявників є зберігання їх персональних даних, а не конкретне втручання у їх кореспонденцію або свободу висловлення поглядів.

62.  Тому Суд у даній справі не закликан приймати рішення про те, чи може стаття 10 Конвенції у даній справі вважатися тою, яка гарантує користувачам телекомунікаційних послуг право на анонімність, і якщо так – в якій мірі (див., щодо зацікавленості користувачів інтернету у тому, щоб їх особистість не розкривалася, Delfi AS v. Estonia [GC], № 64569/09, § 147, 16 червня 2015 року) і як це право повинно бути збалансовано проти інших імперативів (див., з необхідними змінами, K.U. v. Finland, № 2872/02, § 49, 2 грудня 2008 року).

63.  У цілому Суд вважає за доречне розглянути скарги заявників лише відповідно до права на повагу до приватного життя, забезпеченого у статті 8 Конвенції.

2.  Часовий обсяг оцінки

64.  Суд зауважує, що абонентські дані заявників тимчасово зберігав постачальник телекомунікаційних послуг з моменту реєстрації їх SIM-карток. Він також зазначає, що до статті 111 Закону про телекомунікації у 2007 та 2016 році були внесені поправки . Однак, він зауважує, що у рішенні від 24 січня 2012 року Федеральний конституційний суд розглянув Закон про телекомунікації, який був у силі станом на 1 січня 2008 року, і що провадження стосовно подальшого внесення поправок до Закону про телекомунікації від 2016 року усе ще очікують на розгляд у Федеральному конституційному суді (див. пункти 11 і 28 вище). Тому Суд розгляне відповідні положення у формулюванні станом на 1 січня 2008 року.

B.  Щодо прийнятності

65.  Суд зауважує, що ця скарга не є явно необґрунтованою у розумінні статті 35 § 3 (a) Конвенції. Він також зазначає, що вона не є неприйнятною за будь-яких інших підстав. Тому вона повинна бути проголошена прийнятною.

C.  Щодо суті

1.  Доводи сторін

(a)  Заявники

66.  Заявники стверджували, що зобов’язання зберігати їх персональні дані відповідно до статті 111 Закону про телекомунікації втручалося в їх право на приватність, оскільки змушувало їх розкривати персональні дані, які згодом зберігалися. Це втручання не було виправданим, зокрема, оскільки воно було непропорційним і не було необхідним у демократичному суспільстві. По-перше, це положення не було належним інструментом, оскільки на той час ідентифікацію можна було легко обойти шляхом надання неправдивих імен або використання викрадених, використаних або іноземних SIM-карток. Воно також не було необхідним, оскільки ідентифікацію підозрюваних користувачів мобільних телефонів можна було легко здійснити да допомогою інших слідчих заходів. У подальшому поправки до статті 111 Закону про телекомунікації не призвели до зменшення рівня злочинності.

67.  За словами заявників, втручання було дуже тяжким, оскільки полягало в масовому запобіжному зберіганні персональних даних усіх осіб, які користувалися телекомунікаціями. Положення не включало жодних передумов для зберігання, а застосовувалося до усіх користувачів мобільних телефонів. Переважна більшість таких осіб були невинними і не представляли жодної загрози або ризику для громадської або національної безпеки. Стосовно цього заявники стверджували, що відповідно до Федерального мережевого агентства, кількість наборів даних, які зберігалися відповідно до автоматичної процедури зі статті 112 Закону про телекомунікації, збільшилася з 26.62 мільйонів у 2008 році до 34.83 мільйонів у 2015 році. Крім того, положення також не розрізняло “нормальні” комунікацій та такі, які мали особливий захист Конвенції, наприклад, розмови між адвокатом та клієнтом, або лікарем та пацієнтом. Крім того, зберігання даних підвищувало ризик зловживання і витоку даних, а отже, ризик шахрайства з особистими даними.

(b)  Уряд

68.  Уряд погодився з тим, що стаття 111 Закону про телекомунікації становила втручання у право заявників на приватне життя. Вона зобов’язала їх постачальників послуг зберігати їх персональні дані. Уряд підкреслив, що ніякі так звані дані про трафік – тобто, дані, які були результатом процесу спілкування – не зберігалися, а зберігалася лише абонентська інформація, згадана вище (пункт 61). Крім того, статтю 111 необхідно було читати у поєднанні зі статтями 112 і 113 Закону про телекомунікації та подальшими положеннями з обмеженнями, які регулювали доступ до даних, які необхідно зберігати, оскільки органи, які отримували доступ до абонентських даних, повинні були мати для цього статутну основу.

69.  Це обмежене втручання переслідувало законні цілі громадської безпеки, попередження безладу або злочинності та захисту прав та свобод інших осіб, і було для цього доречним інструментом, оскільки воно надавало органам безпеки можливість співвіднести номери мобільних телефонів користувачів сплачених заздалегідь SIM-карток з конкретними особами. Ця можливість сприятиме ефективній роботі правоохоронних органів та допоможе уникнути небезпеки. Можливості для обходу цього положення були в подальшому обмежені поправкою від 2016 року (див. пункт 28 вище).

70.  Це положення також відповідало вимогам захисту персональних даних, встановленим Судом у справі S. and Marper v. the United Kingdom ([GC], №№ 30562/04 і 30566/04, § 103, ECHR 2008). Воно обмежувало кількість даних тими, які були абсолютно необхідними для ідентифікації особи. Строк для зберігання даних був чітко визначений, і його максимальна тривалість не перевищувала тривалість, необхідну для переслідуваної цілі. Більш того, статті 112 і 113 Закону про телекомунікації у поєднанні з конкретними положеннями для отримання даних становили належні гарантії проти зловживання.

71.  Слід також урахувати, що свобода розсуду, яка надавалася державам-учасникам, була відносно широкою, не лише у зв’язку з тим, що органи влади Німеччини повинні були досягти баланс між різними конкуруючими правами та обов’язками, які захищала Конвенція (посилання на Evans v. the United Kingdom [GC], № 6339/05, § 77, 10 квітня 2007 року), але й тому що не існувало європейського консенсусу про обов’язок зберігати абонентські дані при придбанні сплачених заздалегідь SIM-карток для мобільних телефонів. В цілому, зберігання дуже обмеженого набору даних, захищених кількома процесуальними гарантіями, було пропорційним у ключових інтересах громадської безпеки та попередження безладу та злочинності.

(c)  Втручання третіх сторін

72.  Треті сторони, Privacy International і СТАТТЯ 19, підкреслили важливість анонімності й анонімної мови для демократичного суспільству та прав заявників на приватність та свободу висловлення поглядів. Ця основна роль усе більше визнавалася національними судами та міжнародними організаціями, такими, як Організація Об’єднаних Націй та Рада Європи. Крім того, Суд сам підтвердив важливість анонімності у рішенні у справі Delfi AS v. Estonia (цит. вище, §§ 147-48). Окрім цього треті сторони зауважили той факт, що суди Європи усе частіше визнавали, що всеосяжне, невибіркове зберігання інформації для ідентифікації та даних про трафік було непропорційним безсумнівно важливій боротьбі з тяжкими злочинами. Це також підтвердив СЄС у своєму рішенні у справі Digital Rights Ireland і Seitlinger and Others (пункт 51 вище).

2.  Оцінка Суду

(a)  Загальні принципи

73.  Суд повторює, що приватне життя є широким терміном, який не підлягає вичерпному визначенню. Стаття 8 захищає, зокрема, право на особистість та особистий розвиток, і право на встановлення та розвиток стосунків з іншими особами та зовнішнім світом. Тому існує зона взаємодії особи з іншими, навіть у публічному контексті, яка може потрапляти до сфери застосування терміну “приватне життя” (Uzun v. Germany, № 35623/05, § 43, 2 вересня 2010 року).

74.  У контексті персональних даних Суд зазначив, що термін “приватне життя” не слід тлумачити обмежувально. Він визнав, що широке тлумачення відповідає тлумаченню Конвенції про захист даних, мета якої полягає у “захисті на території кожної Сторони поваги до прав та основних свобод (...) кожної особи, і зокрема, права на приватність, у зв’язку з автоматичною обробкою персональних даних, які стосуються цієї особи” (стаття 1); такі персональні дані були визначені, як “будь-яка інформація, що стосується ідентифікованої особи чи такої, яка може бути ідентифікована” (стаття 2) (див. Amann v. Switzerland [GC], № 27798/95, § 65, 16 лютого 2000 року).

75.  Також з усталеної прецедентної практики Суду слідує, що у випадках, коли мав місце збір даних про конкретну особу, обробка чи використання персональних даних, або видання відповідного матеріалу у спосіб або ступінь, що виходить поза межі передбачуваного за нормальних обставин, виникають міркування щодо приватного життя. Тому стаття 8 Конвенції передбачає право на формування інформаційного самовизначення, що дозволяє особам спиратися на власне право на приватність у тому, що стосується даних, які, будучи нейтральними, масово збираються, обробляються та поширюються у такій формі чи в такий спосіб, який стосується прав відповідних осіб за статтею 8 (див. Satakunnan Markkinapörssi Oy and Satamedia Oy v. Finland [GC], № 931/13, §§ 136-37, 27 червня 2017 року, з подальшими посиланнями).

76.  Суд зазначає, що хоча він вже розглядав широкий спектр втручань у право на приватне життя відповідно до статті 8 Конвенції у результаті зберігання, обробки та використання персональних даних – див., наприклад, використання спостереження через GPS у кримінальних розслідуваннях (Uzun v. Germany, № 35623/05, 2 вересня 2010 року, або Ben Faiza v. France, № 31446/12, 8 лютого 2018 року), розкриття інформації, яка робить можливою ідентифікацію особи, правоохоронним органам постачальниками телекомунікаційних послуг (K.U. v. Finland, № 2872/02, 2 грудня 2008 року або Benedik v. Slovenia, № 62357/14, 24 квітня 2018 року), безкінечне зберігання відбитків пальців, зразків клітин та профілів ДНК після закінчення кримінальних проваджень (S. and Marper, цит. вище), так зване вимірювання або збір використання даних про трафік (Malone v. the United Kingdom, № 8691/79, 2 серпня 1984 року; Copland v. the United Kingdom, № 62617/00, 3 квітня 2007 року), або включення сексуальних злочинців до автоматичної національної судової бази даних після засудження за зґвалтування (B.B. v. France, № 5335/06, Gardel v. France, № 16428/05 і M.B. v. France, № 22115/06, усі 17 грудня 2009 року) – жодна з попередніх справ не стосувалася зберігання таких даних, як у цій справі.

77.  Аналогічний зі статтею 111 Закону про телекомунікації обов’язок створювати бази даних для зберігання інформації (імена, по батькові та прізвища, домашні адреси та номера паспортів) про всіх абонентів та надавати правоохоронним органам віддалений доступ до баз даних дійсно були частиною системи таємного спостереження, яку Суд розглянув у справі Roman Zakharov v. Russia ([GC], № 47143/06, §§ 132-33 і 269-70, 4 грудня 2015 року). Однак, враховуючи подальші можливості органів влади Росії щодо перехоплення телекомунікацій, сам обов’язок зберігати абонентську інформацію та надавати віддалений доступ до цієї бази даних не був рішучим для визнання Судом порушення статті 8 у тій справі

78.  У своєму рішенні у справі S. and Marper (цит. вище, § 103) Суд постановив:

“Захист персональних даних має основоположну важливість для користуванням особою своїм правом на повагу до приватного та сімейного життя, яке гарантується статтею 8 Конвенції. Національне законодавство має забезпечити належні гарантії для запобігання такому використанню персональних даних, яке не відповідає гарантіям цієї статті (...). Необхідність таких гарантій є усе вищою у випадках, коли справа стосується захисту персональних даних, які підлягають автоматичній обробці, не в останню чергу – коли такі дані використовуються для потреб поліції. Національне законодавство повинно забезпечувати, щоб такі дані були актуальними і не були надмірними у зв’язку з цілями, для яких вони зберігаються; і щоб вони зберігалися у формі, яка дозволяє ідентифікувати суб’єкти даних упродовж строку, який не перевищує період, необхідний для цілей зберігання цих даних (див. статтю 5 Конвенції про захист даних (...), пункт 47 вище). Національне законодавство повинно також забезпечувати належні гарантії того, щоб персональні дані, які зберігаються, були ефективно захищені від зловживання та неправомірного використання (див. статтю 7 Конвенції про захист даних – пункт 47 вище) (...).”

79.  Суд визнав, що при врівноваженні інтересів держави-відповідача у захисті своєї національної безпеки шляхом заходів таємного спостереження та серйозності втручання у право заявника на повагу до приватного життя, національні органи влади мають певну свободу розсуду для вибору засобів для досягнення законної мети захисту національної безпеки. Однак, ця свобода розсуду підлягає європейському нагляду, який охоплює як законодавство, так і рішення про його застосування (Roman Zakharov, цит. вище, § 232; Liblik and others v. Estonia, №№ 173/15 та інші, § 131, 28 травня 2019 року; Szabó and Vissy v. Hungary, № 37138/14, § 57, 12 січня 2016 року).

80.  Ширина свободи розсуду різниться та залежить від низки чинників, у тому числі характера відповідного права Конвенції, його важливості для особи, характера втручання та мети, яку це втручання переслідує. Свобода розсуду буде більш вузькою у випадках, коли відповідне право є ключовим для ефективного користування особою своїми інтимними або ключовими правами. Однак, якщо у державах-учасниках Ради Європи немає консенсусу щодо відносної значності відповідних інтересів або щодо того, як найкраще їх захистити, свобода розсуду буде ширшою (див. S. and Marper, цит. вище, § 102).

(b)  Застосування цих принципів до даної справи

(i)  Існування втручання

81.  Сторони не заперечують те, що обов’язок постачальників послуг зберігати персональні дані відповідно до статті 111 Закону про телекомунікації становив втручання у право заявників на повагу до їх приватного життя, оскільки їх персональні дані зберігалися. Стосовно цього Суд повторює, що саме лише зберігання даних, які стосуються приватного життя особи, дорівнює втручанню у розумінні статті 8 Конвенції (Leander v. Sweden, 26 березня 1987 року, § 48, серія А № 116). Він також зауважує ухвалу Федерального конституційного суду про те, що обсяг захисту права на інформаційне самовизначення відповідно до національного законодавства не обмежувався інформацією, яка за своїм характером є делікатною, і що з огляду на можливості обробки та поєднання, не існує персональних даних, які б самі по собі, тобто, незалежно від контексту використання, були незначними (див. пункт 14 вище (§ 122)).

(ii)  Виправдання для втручання

82.  Суд повторює, що втручання у право заявника на повагу до приватного життя порушуватиме статтю 8, окрім випадків, коли воно “здійснюється відповідно до закону”, переслідує одну або декілька законних цілей, на які йде посилання у пункті 2, і, крім цього, є “необхідним у демократичному суспільстві” для досягнення цих цілей (див.M.N. and Others v. San Marino, № 28005/12, § 71, 7 липня 2015 року, з подальшими посиланнями).

(α)  “Відповідність до закону”

83.  Відповідно до усталеної прецедентної практики Суду, вимога того, щоб втручання здійснювалося “відповідно до закону”, означає не лише те, що відповідний захід повинен мати певну основу в національному законодавстві, але й те, що закон повинен бути доступним для відповідної особи та передбачуваним у тому, що стосується його наслідків. Зокрема, у контексті зберігання персональної інформації важливо мати чіткі, детальні правила, які регулюють мінімальні гарантії стосовно, серед іншого, тривалості зберігання, використання, доступу третіх сторін, процедур для захисту цілісності та конфіденційності даних та процедур для їх знищення (див. S. and Marper, цит. вище, § 99, з подальшими посиланнями)

84.  Суд вважає, що зберігання персональних даних заявників, при отриманні SIM-карток для мобільних телефонів, здійснювалося на основі статті 111 Закону про телекомунікації, яка, у тому що стосується обсягу даних, що підлягали зберіганню, була достатньо чіткою та передбачуваною. Окрім цього, тривалість зберігання чітко регулювалася, а технічна сторона зберігання, принаймні, після видання відповідних положень та технічної директиви, була чітко визначеною.

85.  У тому, що стосується гарантій, доступу третіх сторін та подальшого використання збережених даних, статтю 111 Закону про телекомунікації слід було читати у поєднанні зі статтями 112 і 113, а також, відповідно до “концепції подвійної двері”, поясненої Федеральним конституційним судом (див. пункт 14 вище (§ 123)), у поєднанні з відповідною правовою основою для індивідуальних інформаційних запитів. Однак, Суд вважає, що питання передбачуваності та достатньої детальності цих положень у даній справі тісно пов’язані з більш широкими питаннями про те, чи було втручання необхідним у демократичному суспільстві та пропорційним. Тому Суд розгляне ці питання у зв’язку з цими аспектами (див. пункти 88-110 нижче).

(β)  Законна мета

86.  Враховуючи відповідний контекст зберігання даних і, зокрема, цілі інформаційних запитів та органів, які мають на них право відповідно до статей 112 і 113 Закону про телекомунікації, Суд приймає аргумент Уряду про те, що втручання переслідувало законні цілі громадської безпеки, попередження безладу і злочинності та захисту прав та свобод інших осіб.

87.  У зв’язку з цим Суд зауважує пояснення рішення Федерального конституційного суду про те, що доступ до інформації, яка зберігається, здійснюється “з метою уникнення небезпеки, переслідування за кримінальні порушення або нормативні правопорушення і виконання обов’язків розвідки” (див. пункт 21 вище (§ 176)). Ці цілі також підкреслюються у Законі про телекомунікації, в якому стверджується, що інформаційні запити дозволяються у тій мірі, в якій є необхідними для переслідування за кримінальні та нормативні правопорушення, уникнення небезпеки та виконання обов’язків розвідки (див. пункт 31 вище).

(γ)  “Необхідність у демократичному суспільстві”

88.  Втручання вважатиметься “необхідним у демократичному суспільстві” для законної мети, якщо відповідатиме “нагальній соціальній потребі”, і якщо буде пропорційним переслідуваній законній меті. Суд вважає, що боротьба зі злочинністю, і зокрема, з організованою злочинністю та тероризмом, що є одним з викликів, з якими стикаються сучасні європейські суспільства, прагнучи підтримувати громадську безпеку та захист громадян, становлять “нагальну соціальну потребу” (порівняйте, з необхідними змінами, з Szabó and Vissy, цит. вище, § 68; Ramda v. France, № 78477/11, § 96, 19 грудня 2017 року). Він також визнає, що сучасні засоби телекомунікації та зміни у поведінці спілкування вимагають, щоб слідчі інструменти правоохоронних органів й органів національної безпеки адаптувалися (S. and Marper, цит. вище, § 105).

89.  Суд зауважує, що Уряд стверджував, що можливість співвідносити номери заздалегідь сплачених SIM карток мобільних телефонів з конкретними особами була необхідною для ефективної праці правоохоронних органів і для уникнення небезпеки. Однак, заявники опротестували ефективність статті 111 Закону про телекомунікації, оскільки не існувало емпіричних доказів того, що обов’язкова реєстрація призвела до зменшення рівня злочинності. Більш того, вони стверджували, що ідентифікацію можна було легко обійти шляхом надання неправдивих імен або використання крадених, використаних або іноземних SIM-карток.

90.  Суд визнає, що попередня реєстрація абонентів мобільного телефонного зв’язку значно спрощує та прискорює розслідування, які проводять правоохоронні органи, і тому може сприяти ефективній праці правоохоронних органів та попередженню безладу чи злочинності. Більш того, він вважає, що існування можливостей для обходу правових обов’язків не може бути підставою для того, щоб ставити під сумнів загальну корисність та ефективність правового положення. Нарешті, Суд повторює, що у контексті національної безпеки органи національної влади користуються певною свободою розсуду при виборі засобів для досягнення законної мети, і зазначає, що відповідно до доповіді про порівняльне право, між державами-учасниками не існує консенсусу у тому, що стосується зберігання абонентської інформації користувачів Sim-карток, сплачених заздалегідь (див. пункт 58 вище). Враховуючи цю свободу розсуду, Суд приймає те, що обов’язок зберігати абонентську інформацію відповідно до статті 111 Закону про телекомунікації становив, у цілому, належну відповідь на зміни у поведінці спілкування і в телекомунікаційних засобах.

91.  Однак, залишається питання про те, чи було втручання пропорційним і чи досягло воно справедливого балансу між конкуруючими громадськими та приватними інтересами.

92.  У першу чергу Суд має встановити рівень втручання у право заявників на приватне життя. Стосовно цього Суд погоджується з Федеральним конституційним судом (див. пункт 15 вище (§§ 138 і 139)) про те, що зберігалися лише обмежені дані. До цих даних не входить персональна інформація і вони не дозволяють створити профіль особистості або відстежувати пересування абонентів мобільного телефонного зв’язку. Крім того, не зберігалися жодні дані стосовно окремих комунікаційних подій. Тому рівень втручання має чітко відрізнятися від попередніх справ Суду, які стосуються, наприклад, “вимірювання” (див. Malone і Copland, цит. вище), геолокації (Uzun і Ben Faiza, цит. вище), або зберігання даних про здоров’я та інших делікатних даних (див., наприклад, S. and Marper, цит. вище, M.M. v. the United Kingdom, № 24029/07, 13 листопада 2012 року). Крім того, цю справу необхідно відрізняти від справ, у яких реєстрація у конкретній базі даних призвела до частих перевірок або подальшого збору приватної інформації (див. Dimitrov-Kazakov v. Bulgaria, № 11379/03, 10 лютого 2011 року; Shimovolos v. Russia, № 30194/09, 21 червня 2011 року).

93.  Нарешті, в той мірі, в якій заявники стверджували, що втручання було тяжким, оскільки стаття 111 Закону про телекомунікації створювала реєстр усіх користувачів мобільних SIM карток, і тому це втручання порівнювалося зі зберіганням даних у справах Digital Rights Ireland і Seitlinger and Others, а також Tele2 Sverige і Tom Watson and Others (див. пункти 51 і 52 вище), Суд зауважує, що відповідна директива у цих справах стосувалася даних про трафік та місце знаходження як юридичних, так і фізичних осіб, і пов’язаних даних, необхідних для ідентифікації абонента або зареєстрованого користувача.

94.  В дійсності відповідні дані у цій справі більше нагадують дані в іншому попередньому посиланні, Ministerio fiscal (пункт 54 вище). Як Суд ЄС постановив у тій справі, відповідні дані “не дають можливості уточнити дату, час, тривалість та одержувачів розмов, зроблених за допомогою SIM-карток, або відповідних карток, а також місця, де ці розмови відбулися чи тривалість розмов з конкретними особами у даний період. Тому ці дані не дають зробити точні висновки про приватне життя відповідних осіб”. Тому Суд ЄС дійшов висновку про те, що доступ до відповідних даних не може бути визначений, як тяжке втручання в основні права відповідних осіб (див. пункт 55 вище).

95.  В цілому Суд робить висновок, що хоча втручання й не було тривіальним, воно мало дуже обмежений характер.

96.  Що стосується гарантій, Суд зауважує, що заявники не стверджували, що зберігання відповідних даних супроводжувалося технічною небезпекою. Більш того, тривалість зберігання обмежувалася закінченням календарного року після року закінчення контрактних стосунків (стаття 111 § 4 Закону про телекомунікації – див. пункт 27 вище). Тому тривалість зберігання не видається недоречною, враховуючи, що розслідування кримінальних порушень можуть тривати певний час і продовжуватися після закінчення контрактних стосунків. Крім того, видається, що збережені дані обмежуються інформацією, необхідною для чіткої ідентифікації відповідного абонента.

97.  Тому Суд зауважує, що хоча заявники скаржилися лише на зберігання персональної інформації відповідно до статті 111 Закону про телекомунікації, обидві сторони визнали, що зберігання даних необхідно оцінити у поєднанні зі статтями 112 і 113 того Закону. Уряд стверджував, що ці статті, у поєднанні з іншими конкретними положеннями щодо отримання даних, обмежували доступ до даних та їх використання, і містили ефективні гарантії проти зловживання. Однак, заявники стверджували, що кожний подальший захід розслідування поводження особи – пов’язаний з мобільним зв’язком – ґрунтувався на інформації, яка зберігалася відповідно до статті 111 Закону про телекомунікації, і тому можливості подальшого використання персональних даних необхідно було враховувати при оцінці пропорційності положення про зберігання даних. Суд погоджується зі сторонами у тому, що в даній справі він не може розглядати пропорційність втручання без оцінки подальшого можливого доступу до збережених даних та їх використання. Тому він вважає важливим розглянути правову основу для інформаційних запитів та доступні гарантії (див., з необхідними змінами, S. and Marper, цит. вище, §§ 67, 103, з подальшими посиланнями).

98.  Щодо статті 112 Закону про телекомунікації Суд погоджується з Федеральним конституційним судом (див. пункт 18 вище (§ 156)) про те, що це положення дуже спростило отримання даних для органів. Централізована та автоматична процедура дозволяє певну форму доступу, яка переважно видаляє практичні труднощі збору даних та робить дані доступними для органів у будь-який час без затримок. Однак, той факт, що органи влади, які подають запит про доступ, конкретно наводяться у статті 112 Закону про телекомунікації, є обмежуючим чинником. Хоча список видається широким, усі наведені у ньому органи виконують правоохоронні функції або функції захисту національної безпеки.

99.  Щодо статті 113 Закону про телекомунікації, Суд у першу чергу зазначає, що отримання інформації не спрощується у той самій мірі, як за статтею 112, оскільки органи влади повинні надати письмовий запит про інформацію, яку прагнуть отримати. Подальше розрізнення між статтями 112 і 113 Закону про телекомунікації полягає в тому, що органи влади, які мають право подавати запити про доступ відповідно до цього положення, визначаються з посиланням на функції, які виконують, але не наводяться прямо. Хоча Суд вважає цей опис за завданнями менш точним та більш відкритим до тлумачення, формулювання положення усе ще є достатньо детальним для того, щоб можна було чітко передбачити, які органи уповноважені подавати інформаційні запити. Стосовно цього Суд також зауважує, що Федеральний конституційний суд зробив висновок про те, що обмежені завдання служби розвідки виправдовували її широкі правові повноваження щодо подання інформаційних запитів на запобіжній основі (див. пункт 21 вище (§ 177)).

100.  Стосовно обох положень Суд зауважує, що дані, які зберігаються, також захищає від надмірних або неправомірних інформаційних запитів той факт, що орган, який подає запит, також повинен надати відповідну правову основу для отримання даних. Як пояснив Федеральний конституційний суд шляхом надання концепції “подвійної двері” (див. пункт 14 вище (§ 123)), статті 112 і 113 Закону про телекомунікації дозволяють Федеральному мережевому агентству або відповідному постачальнику послуг лише видавати дані. Однак, необхідне подальше положення для того, щоб дозволити відповідним органам подавати запити про інформацію. Крім того, отримання інформації обмежується необхідними даними, і ця вимога необхідності захищається загальним обов’язком відповідних органів влади, які отримують інформацію, видаляти будь-які непотрібні дані без неналежної затримки. Федеральний конституційний суд зауважив, що вимога “необхідності” означала, у контексті переслідування за правопорушення, що повинна була існувати хоча б початкова підозра (див. пункт 21 вище (§ 177)). Суд визнає, що існують достатні обмеження повноважень щодо подання запитів про інформацію, і тому вимога необхідності не лише притаманна конкретним правовим положенням, які є темою цієї скарги, але й німецькому та європейському законодавству в галузі захисту даних.

101.  Враховуючи ці елементи, Суд може прийняти висновок Федерального конституційного суду про те, що пороги, які надаються у статті 113 Закону про телекомунікації, були усе ще прийнятними у світлі конституційного права, беручи до уваги, що зобов’язання надавати письмові запити про інформацію могло заохотити органи влади отримувати цю інформацію лише за необхідності (див. пункт 21 вище (§ 178)). Стосовно цього Суд також зауважує, що на практиці видається, що ручне отримання даних здійснюється у невеликій кількості справ, у порівнянні з автоматичними запитами відповідно до статті 112 Закону про телекомунікації (див. пункт 13 вище).

102.  Нарешті, Суд розгляне доступні можливості перегляду та нагляду за інформаційними запитами відповідно до статей 112 і 113 Закону про телекомунікації. У справі Klass and Others v. Germany (6 вересня 1978, § 55, серія А № 28) Суд постановив, що перегляд втручань у право на повагу до приватного життя відповідно до статті 8 Конвенції – у тій справі, втручань, які прийняли вигляд заходів таємного спостереження – міг здійснюватися на трьох різних стадіях: коли уперше був виданий наказ про втручання, коли воно здійснювалося або після його закінчення. Якщо перегляд здійснюється без знання особи на перших двох стадіях, важливо, щоб процедури надавали належні та еквівалентні гарантії, які захищають права особи. У більш загальному ключі Суд заявив (там же):

“... цінностей демократичного суспільства слід дотримуватися у контрольних процедурах так вірно, як це тільки можливо, якщо межі необхідності, у розумінні пункту 2 статті 8 (ст. 8-2), не можна перевищувати. Одним з основоположних принципів демократичного суспільства є верховенство права, на яке йде явне посилання у Преамбулі до Конвенції (...). Верховенство права передбачає, зокрема, що втручання органів виконавчої влади у права особи повинно підлягати ефективному контролю, який за нормальних обставин повинен забезпечуватися судовою владою, принаймні у крайньому випадку, оскільки судовий контроль забезпечує найкращі гарантії незалежності, неупередженості та належної процедури.”

103.  У подальшому Суд спирався на ці принципи, зокрема, можливість ефективного контролю та перегляду, стосовно різних втручань у право на повагу до приватного життя відповідно до статті 8 Конвенції (див., наприклад: зберігання делікатних персональних даних у файлах безпеки – Rotaru v. Romania [GC], № 28341/95, § 59, ECHR 2000‑V; вилучення банкових документів – M.N. and Others v. San Marino, цит. вище, §§ 73, 78; рішення скасувати привілеї адвоката проти розголошення її банківських виписок у кримінальному провадженні – Brito Ferrinho Bexiga Villa-Nova v. Portugal, № 69436/10, § 55, 1 грудня 2015 року; прослуховування телефону – Lambert v. France, 24 серпня 1998 року, § 31, Reports of Judgments and Decisions 1998‑V; система таємного спостереження за розмовами по мобільному телефону – Roman Zakharov, цит. вище, § 233; стратегічний моніторинг спілкування – Weber and Saravia v. Germany (dec.), № 54934/00, § 117, 29 червня 2006 року). Однак, Суд зауважує, що усі ці справи стосувалися індивідуалізованих та більш тяжких втручань у право на повагу до приватного життя, що не може поширюватися на доступ до даних у даній справі. В цілому він вважає, що рівень перегляду та нагляду має вважатися важливим, але не рішучим елементом в оцінці пропорційності збору та зберігання такого обмеженого набору даних.

104.  Повертаючись до фактів даної справи, Суд зауважує, що у принципі відповідно до статті 113 Закону про телекомунікації, пункт 2 цієї статті пояснює, що відповідальність за законність інформаційного запиту полягає на органі, який подає запит, і що постачальники телекомунікацій не мають компетенції щодо перегляду прийнятності будь-якого запиту, поки запит про інформацію подається у письмовій формі з наданням правової основи. Однак, відповідно до статті 112 Закону про телекомунікації, Федеральне мережеве агентство має компетенцію для розгляду прийнятності передачі інформації, коли для цього є підстави.

105.  Крім того, кожне отримання і відповідна інформація, яка стосується отримання (час, використані у процесі дані та отримані дані, інформація, яка чітко ідентифікує осіб, які отримують дані, орган, який подає запит, його номер для посилання, інформація, яка чітко ідентифікує особу, яка подала запит) записуються для цілей нагляду за захистом даних. Цей нагляд здійснюють незалежні федеральні та земельні органи захисту даних. Земельні органи уповноважені не лише мониторити виконання всіма органами положень про захист даних, але й можуть отримувати звернення будь-якої особи, яка вважає, що її права були порушені у зв’язку зі збором, обробкою чи використанням її персональних даних державними органами.

106.  Нарешті, Суд зазначає, що Федеральний конституційний суд постановив, що правового відшкодування за отримання інформації можна прагнути відповідно до загальних правил (пункт 22 вище (§ 186)) – зокрема, разом з провадженнями про правове відшкодування стосовно остаточних рішень органів влади.

107.  Суд вважає, що можливість нагляду з боку компетентних органів з захисту даних забезпечує перегляд з боку незалежного органу. Крім того, оскільки кожен, хто вважає, що його права були порушені, може подати апеляцію, відсутність повідомлення і конфіденційність процедури отримання інформації не викликає питання відповідно до Конвенції.

108.  Нарешті, Суд визнає, що – оскільки між державами-учасниками немає консенсусу стосовно збору та зберігання обмеженої інформації про абонентів (див. пункт 58 вище) – держави-учасники мали певну свободу розсуду при виборі засобів для досягнення законних цілей захисту національної безпеки та боротьби зі злочинністю, яку Німеччина у цій справі не переступила.

109.  Беручи це до уваги, Суд робить висновок про те, що зберігання персональних даних заявників їх відповідними постачальниками послуг згідно зі статтею 111 Закону про телекомунікації (у версії, яку розглянув ФКС – див. пункт 64) було пропорційним і тому “необхідним у демократичному суспільстві”.

110.  Відповідно, порушення статті 8 Конвенції не було.

ЗА ЦИХ ПІДСТАВ СУД

1.  Проголошує, одноголосно, заяву прийнятною;

2.  Постановляє, шістьма голосами проти одного, що порушення статті 8 Конвенції не було.

Складено англійською мовою та повідомлено у письмовій формі 30 січня 2020 року, відповідно до правила 77 §§ 2 і 3 Регламенту Суду.

Клаудіа Вестердійк Йонко Грозев
Секретар Головуючий

Відповідно до статті 45 § 2 Конвенції та правила 74 § 2 Регламенту Суду, окрема думка судді Ранцоні прикріплюється до цього рішення.

Й.Г.
К.В.

ОКРЕМА ДУМКА СУДДІ РАНЦОНІ

I.  Вступ

1. Я проголосував за визнання порушення статті 8 Конвенції у даній справі, оскільки не можу погодитися з оцінкою деяких фактів, яку зробила більшість у своєму тлумаченні та застосуванні загальних принципів Суду.

2. На мою думку, головними питаннями у даній справі є наступні: якими є вимоги відповідно до статті 8 – зокрема, стосовно гарантій – щодо зберігання персональних даних, які вважаються тими, що мають невелику вагу, але можуть бути легко отримані у великій кількості великою різноманіттю органів влади?

3. З самого початку слід узяти до уваги та підкреслити, що дана справа не обмежується заходами, які стосуються боротьби з тероризмом або іншими аналогічними тяжкими злочинами, і не обмежується питаннями національної безпеки. Законодавство, яке Суд закликаний розглянути, також дозволяє зберігання даних для інших, менш серйозних цілей, і надає доступ різним органам до таких даних. До цих органів входять не лише суди і органи прокуратури, але й інші органи, такі, як митні органи розслідування, аварійні служби, служби митного управління з питань незадекларованої праці, орган фінансового нагляду та декілька служб розвідки.

II.  Рівень втручання

1. Моє перше питання до висновків більшості стосується рівня втручання. Більшість дійшла висновку про те, що втручання, тобто, зберігання персональних даних заявників, “хоча й не було тривіальним, було дуже обмеженим за характером” (див. пункт 95). На мою думку, більшість не звернула увагу на декілька відповідних фактів при оцінці рівня втручання.

2. Я погоджуюсь з більшістю та Федеральним конституційним судом Німеччини (надалі “Конституційний суд”) про те, що не зберігалася ніяка делікатна інформація. Однак, більшість не звернула уваги на той факт, що дані служать ключом до (делікатних) телекомунікаційних даних та дозволяють співвіднести особу з номером телефону або номер телефону з особою. Тому вони полегшують ідентифікацію сторін кожної телефонної розмови або обміну повідомленнями і присвоєння можливої делікатної інформації особі, яка може бути ідентифікована. Ця здатність була метою відповідного положення. Однак, на жаль, більшість не взяла цей аспект до уваги. Це тим більше прикро, оскільки Суд раніше розглянув цю можливість ідентифікувати осіб, які приймають участь у розмовах. У справі Benedik v. Slovenia (№ 62357/14, 24 квітня 2018 року) Суд розглянув можливість ідентифікації користувача інтернету шляхом отримання абонентської інформації, асоційованої з динамічною IP-адресою, і підкреслив важливість конкретного контексту, в якому шукали інформацію про абонента. Він постановив (там же, § 109):

“... тому те, що здавалося б периферійною інформацією, яку прагне отримати поліція, а саме, ім’я та адреса абонента, повинно у ситуаціях, аналогічних даній, вважатися нерозривно пов’язаним з відповідними існуючими даними, які розкривають зміст .... Стверджувати інакше означало б відмову у наданні необхідного захисту інформації, яка може багато розкрити про діяльність особи у мережі, у тому числі делікатні подробиці про інтереси, переконання та інтимне життя цієї особи.”

1. Однак, більшість не взяла цей аспект до уваги при оцінці рівня втручання.

2. Більшість також не вважала, що дану справу, і, зокрема, всеосяжність зберігання даних, можна порівняти зі справами Digital Rights Ireland і Seitlinger and Others та Tele2 Sverige і Tom Watson and Others, рішення в яких прийняв Суд Європейського Союзу (надалі “Суд ЄС”) (див. пункти 51-52). Заявники стверджували, що зберігання даних у цій справі можна було порівняти зі зберіганням даних у справах, де рішення прийняв Суд ЄС, оскільки воно було всеосяжним у тому, що впливало на всіх осіб, які користувались послугами мобільного зв’язку, незважаючи на те, що не було доказів у підтримку того, що їх поводження могло бути пов’язаним з кримінальними або іншими порушеннями. Більшість відхилила цей аргумент. Однак, на мою думку, у цьому дану справу дійсно можна порівняти зі справами Суду ЄС. Мета статті 111 Закону про телекомунікації полягала у створенні всеосяжного реєстру всіх користувачів мобільного зв’язку. Це демонструється, зокрема, тим фактом, що після встановлення того, що зберігалася неправильна інформація, до положення були внесені поправки, і користувачі були зобов’язані надавати докази своєї особистості. Метою положення дійсно було всеосяжне зберігання абонентських даних, і законодавство про це оцінюється in abstracto у даній справі.

3. Якщо б більшість погодилася, що стаття 111 Закону про телекомунікації була спрямована на встановлення всеосяжного реєстру всіх користувачів мобільного зв’язку, вона б також могла розглянути суспільні наслідки такого реєстру. Суд раніше визнавав, що анонімність давно була засобом уникнення репресій або небажаної уваги, і тому була здатна сприяти вільному обігу ідей та інформації у важливий спосіб (див. Delfi AS v. Estonia [GC], № 64569/09, § 147, 16 червня 2015 року). Це узгоджується, наприклад, з думкою Спеціального доповідача Організації Об’єднаних Націй щодо сприяння та захисту права на свободу думки та вираження поглядів (див. пункт 56). Однак, більшість не обговорила цей аспект втручання.

4. Коротше кажучи, на мою думку, більшість не оцінила належним чином рівень втручання, і, не взявши до уваги певні аспекти, дійшла висновку про те, що втручання було обмеженим. Однак, це мало тяжкі наслідки для розгляду справи, оскільки у подальших частинах більшість занадто підкреслила обмежений характер втручання, і згодом також надмірно знизила рівень необхідних гарантій.

III.  Пропорційність

1. Я також не погоджуюся з певними аспектами здійсненої більшістю оцінки пропорційності.

2. Ключова точка такої оцінки полягає у досягненні справедливого балансу між конкуруючими громадськими та приватними інтересами, шляхом розгляду, з одного боку, зберігання конкретних персональних даних, а з іншого боку, відповідних гарантій, для обмеження заходу суто необхідним, для запобігання використання персональних даних у спосіб, який не відповідає гарантіям статті 8, і тому для захисту персональних даних від зловживання та неправомірного використання. Результат цього врівноваження залежатиме, зокрема, від ваги, яку слід надати відповідним персональним даним. Чим менше ваги надається таким даним, тим менше гарантій потрібно.

3. Ця логіка також лежить в основі рішення Суду ЄС у справі Ministerio Fiscal (див. пункти 54-55): чим легше втручання, тим легше його виправдати у галузі запобігання, розслідування, виявлення та переслідування за кримінальні порушення. Більшість згадувала це попереднє посилання та його висновок про те, “що доступ до відповідних даних не може визначатися, як тяжке втручання” (див. пункт 94).

4. Однак, при порівнянні тієї справи з даною справою, необхідно підкреслити деякі значні розбіжності. Суд ЄС визнав втручання виправданим “за обставин” тієї справи. Та справа стосувалася SIM-карток одного краденого мобільного телефона, який упродовж 12 днів був пов’язаний з особистістю власників цих карток. Запит прагнув доступу лише до телефонних номерів, які відповідали цим SIM-карткам, і до даних, які стосувалися особистості власників цих карток. Лише за цих обставин Люксембурзький суд постановив, що доступ до таких конкретних даних не може визначатися, як “тяжке” втручання.

5. Однак, дана справа дуже відрізняється. По-перше, вона стосується не доступу до даних безпосередньо, а зберігання даних. По-друге, вона не стосується конкретного кримінального розслідування з конкретними слідчими заходами, які необхідно розглянути. По-третє, вона – на відміну від справи Ministerio Fiscal – не стосується ані конкретних даних (SIM-карток з одного телефону), ані обмеженої тривалості (12 днів), а стосується наборів даних мільйонів осіб, які зберігаються упродовж значно довшого періоду. По-четверте, доступ до даних у цій справі не обмежується метою боротьби зі злочинами, будь то тяжкі злочини або інші порушення. Закон про телекомунікації також дозволяє доступ до даних у зв’язку з нормативними порушеннями та іншими загальними цілями, які переслідують служби митного розслідування, аварійні служби, служби митного управління у зв’язку з незадекларованою працею, орган фінансового нагляду та декілька служб розвідки – останні з цих органів діють незалежно від конкретних небезпек (див. §§ 176-177 рішення Конституційного суду). На відміну від цього, більшість держав-учасників, включених у доповідь про порівняльне право, обмежують прийнятні цілі розслідуванням злочинів або запобіганням загроз громадському порядку (див. пункт 58).

6. Більшість Палати у даній справі вважала, “що збережені дані захищаються від надмірних або неправомірних інформаційних запитів в силу того факту, що орган, який подає запит, повинен мати додаткову правову підставу для отримання даних” (див. пункт 100). Хоча Конституційний суд дійсно підтвердив, що додаткова правова основа була необхідна для отримання даних відповідними органами, він також погодився з тим, що загальні повноваження щодо збору даних були достатніми (див. § 163 рішення Конституційного суду). Якщо розглянути відповідні правові положення, які наводяться у рішенні (див. пункти 32-38), стає очевидно, що більшість органів влади мають право збирати дані при виконанні своїх обов’язків та завдань. Це означає, що не існує чіткого порогу, який би обмежував збір даних цілями розслідування тяжких злочинів або конкретними тяжкими загрозами національній безпеці. Стосовно цього слід також зауважити, що Суд вже розглядав “загальний пункт” для слідчих заходів відповідно до статті 161 Кримінально-процесуального кодексу (КПК), як одну з додаткових правових основ, яка, за словами більшості, захищає користувачів мобільного зв’язку від надмірних або неправомірних інформаційних запитів. У справі Sommer v. Germany (№ 73607/13, § 58, 27 квітня 2017 року) Суд дійшов висновку про те, що поріг для втручання був відносно низьким, і що положення не надавало конкретних гарантій.

7. Кількість осіб, на яких вплинуло втручання, яка вже є дуже великою у зв’язку з широким характером правових положень, також підвищується у зв’язку з технічною структурою бази даних та можливостями запитів. Інформаційні запити не зобов’язані обмежуватися конкретними телефонними номерами або іменами. Стаття 112(1) Закону про телекомунікації дозволяє органам влади здійснювати пошук на основі неповних даних, за допомогою функції подібності. Тому отримані дані можуть стосуватися великої кількості осіб, стосовно яких немає жодних доказів, які б стверджували, що їх поводження могло мати навіть непрямий чи віддалений зв’язок з кримінальними або нормативними порушеннями, окрім схожого імені або телефонного номеру. Однак, ці особи усе ще можуть підлягати подальшим слідчим заходам, основаним на отриманні даних відповідно до статті 112 Закону про телекомунікації.

8. Коли подається запит про інформацію і здійснюється пошук у базі даних, ім’я/номер порівнюється з кожним користувачем мобільного зв’язку в базі даних. У подальшому персональні дані кожного користувача обробляються, хоча й у обмежений спосіб. В залежності від точності критеріїв пошуку, цей пошук надає перелік усіх абонентів, які відповідають критеріям. Враховуючи функцію подібності та неповні пошуки, перелік, наведений у результаті, усе ще може охоплювати дані, які стосуються дуже великої кількості осіб. Для подальшого скорочення списку – і, згодом, для ідентифікації відповідного номеру або особи – органи влади мають скористатися додатковими слідчими заходами. Тому ці особи можуть зазнати подальших втручань на основі отримання даних відповідно до статті 112 Закону про телекомунікації, незважаючи на те, що вони не надавали підстав для розслідування, окрім схожого імені або телефонного номеру. Важливо зауважити, що у 2015 році був здійснений доступ до близько 35 мільйонів наборів даних, відповідно до автоматичної процедури (див. пункт 67), і кожний з наборів даних відповідає одній особі.

9. Однак, одна з моїх головних незгод з більшістю полягає в оцінці гарантій та того, чи є достатніми наявні гарантії, якщо вони взагалі існують, для ефективного запобігання зловживанню та неправомірному використанню персональних даних (S. and Marper v. the United Kingdom [GC], №№ 30562/04 і 30566/04, § 103, ECHR 2008; на яке посилається більшість у пункті 78). На мою думку, у цьому полягає суть справи.

10. Результат оцінки залежить, зокрема, від значення “ефективних” гарантій. Зокрема, чи є національне або міжнародне законодавство, саме по собі, достатньою гарантією? Відповідь має бути “ні”, оскільки законодавство є лише правовою основою, яка визначає законність втручання: воно саме по собі та на додаток до цього не є ефективною гарантією. У моєму розумінні вимоги ефективних гарантій, такі гарантії повинні захищати особу від свавільного застосування національного законодавства національними органами влади та від зловживання законними повноваженнями. Такий захист повинен виходити поза межі юридичних правил, зокрема у випадках, коли ці правила та законні повноваження сформульовані у широких поняттях, як погодився Конституційний суд у цій справі, і коли правила та повноваження дозволяють отримувати дані у спрощений та автоматизований спосіб. Стосовно цього я хотів би знову послатися на загальну кількість у близько 35 мільйонів наборів даних, доступ до яких надавався відповідно до автоматичної процедури у 2015 році.

11. У підтримку твердження про існування достатніх гарантій більшість спиралася на порівняння з подвійними дверима, зроблене Конституційним судом (див. пункти 17, 85 і 100). Однак, як можна побачити вище, правові положення для отримання даних є дуже загальними та широкими. Хоча їх може бути достатньо в якості правових ключів для подвійних дверей, не існує подальшого механізму для контролю за інформацією, яка передається. Подвійні двері можна легко відкрити цими ключами, але по ту сторону дверей не стоїть контролер, який мав би перевіряти, які предмети виносяться за двері та згодом використовуються.

12. Крім того, більшість стверджує, що отримання не лише супроводжувалося гарантіями безпеки у правових положеннях, але й обмежувалося необхідними даними, і сама ця вимога супроводжувалася гарантією загального обов’язку видаляти непотрібні дані (див. пункт 100). Що це означає і в чому дійсно полягають гарантії? На мій погляд, простіше кажучи, вони складаються з загальних положень про отримання даних, які, відповідно до більшості, “захищаються” загальною вимогою необхідності, яка “гарантується” подальшим загальним зобов’язанням. Я не бачу у цьому ніякого дійсного захисту від можливого зловживання та неправомірного використання. Відповідно, за обставин даної справи, концепція подвійних дверей не надає таких ефективних гарантій.

13. Отримання персональних даних не вимагає наказу суду або іншого незалежного органу. Хоча Федеральне мережеве агентство повинно – принаймні для запитів відповідно до статті 112 Закону про телекомунікації – розглядати прийнятність передання даних, коли для цього є конкретні підстави, Конституційний суд сам правильно зауважив, що оскільки орган, який отримує дані, не зобов’язаний надавати підстави для запиту, навряд чи така можливість взагалі може виникнути (див. пункт 18). Тому це агентство не може діяти в якості ефективної гарантії. Для отримання інформації відповідно до статті 113 Закону про телекомунікації, пункт 2 цієї статті пояснює, що відповідальність за законність інформаційного запиту полягає на органі, який подає запит, і що постачальники телекомунікаційних послуг не мають компетенції для розгляду прийнятності, поки запит про інформацію подається у письмовій формі і надається правова основа. В цілому, орган, який отримує інформацію, має компетенцію для подання інформаційного запиту, і в той же час – для розгляду прийнятності свого запиту. Інакше кажучи, орган, який отримує інформацію, є власною гарантією. Однак, ефективний перегляд та нагляд за інформаційними запитами, поданими відповідно до статті 112 чи 113 Закону про телекомунікації, з боку судового або іншого незалежного органу, відсутній.

14. Суд раніше визнавав, що ретроспективного перегляду втручання може бути достатньо у контексті заходів безпеки. Однак, інформаційні запити відповідно до автоматичної процедури відбуваються без знання постачальника телекомунікаційних послуг або відповідного абонента, і немає зобов’язання інформувати користувача мобільного телефону про факт доступу до його персональних даних. Аналогічна ситуація існує для ручних запитів про інформацію відповідно до статті 113 Закону про телекомунікації, оскільки пункт 4 цього положення вимагає, щоб постачальники телекомунікаційних послуг забезпечували конфіденційність інформаційного запиту та інформації, наданої у його підтримку (див. пункт 31). Відповідно, особа, яка є постраждалою від втручання, не знає про отримання інформації та не може прагнути його перегляду.

15. Більшість визнала цей наслідок, спираючись, зокрема, на аргумент Конституційного суду про те, що можна прагнути відшкодування разом з провадженнями про правове відшкодування щодо остаточних рішень органів влади (див. пункт 105). Однак, це стосується лише інформаційних запитів, які призвели до подальшого спостереження за телекомунікаціями або інших слідчих заходів. Навіть у цій справі можна оскаржити лише подальші слідчі заходи, а не саме отримання і зберігання інформації. Крім того, ця форма перегляду доступна лише дуже обмеженій кількості категорій постраждалих. Переважна більшість з них залишається без можливості перегляду.

16. У зв’язку з цим рішення Палати згодом посилається на нагляд, який здійснюють органи захисту даних (див. пункт 107). Незважаючи на важливу роботу цих органів, видається нереалістичним, що вони переглядатимуть 35 мільйонів наборів даних, до яких отримував доступ широкий спектр різних органів влади. Враховуючи персонал, доступний цим органам захисту даних, і їх широкий спектр завдань, це не є ані належною формою перегляду, ані ефективною гарантією.

IV.  Висновок

1. Моя оцінка національного законодавства та практики у даній справі змусила мене досягти висновку про те, що доступні гарантії зовсім не є достатніми для ефективного запобігання зловживанню та неправомірному використанню великого обсягу персональних даних, і я надаю цьому значно більше ваги, ніж мої колеги у Палаті. Тому я вважаю, що втручання у права заявника відповідно до статті 8 не було пропорційним переслідуваній законній меті, зокрема, оскільки національне законодавство не обмежувалося заходами проти тероризму або інших тяжких злочинів, або питаннями національної безпеки, а виходило поза їх межі. Втручання не відповідало “нагальній соціальній потребі”, і тому не було необхідним у демократичному суспільстві.

2. Це змусило мене проголосувати за встановлення порушення статті 8 Конвенції.