Udeležba na sestanku o izmenjavi informacij in hrambi podatkov
DAPIX je delovna skupina za izmenjavo informacij in varstvo podatkov, ki deluje pod okriljem Sveta Evropske unije. Njena osrednja naloga je delo v zvezi z izvajanjem zakonodaje in politik, ki se nanašajo na izmenjavo informacij in varstvo osebnih podatkov na področju kazenskega pregona. V zadnjem času je ena izmed najbolj aktualnih tem vprašanje zakonitosti hrambe podatkov (Data Retention) v povezavi s sodbama Sodišča Evropske unije z dne 8. aprila 2014, ki je razveljavila Direktivo o hrambi podatkov, in z dne 21. decembra 2016.
Na podlagi prve sodbe Sodišča EU v združenih zadevah C-293/12 in C-594/12 je Ustavno sodišče RS 3. julija 2014 s svojo odločbo U-I-65/13-19 razveljavilo celotno 13. poglavje Zakona o elektronskih komunikacijah (ZEKom-1), ki je operaterjem nalagalo obvezno hrambo podatkov v javnem komunikacijskem omrežju. Od tedaj Slovenija določb o obvezni hrambi podatkov nima. Na takšen način pa niso postopala sodišča vseh držav članic EU, saj so bili ponekod mnenja, da je zakonska ureditev hrambe podatkov stvar nacionalne zakonodaje. Z drugo sodbo Sodišča EU (združeni zadevi C-203/15 in C-698/15, v javnosti bolj znana kot »Tele2 and Watson case«), je sodišče jasno zaključilo, da pravo EU ne dovoljuje splošne in nediskriminatorne hrambe prometnih in lokacijskih podatkov. Še vedno pa je v rokah držav članic, da uredijo t.i. “ciljno hrambo podatkov” z namenom boja proti resnemu kriminalu. Najbrž je odveč pojasnjevati, da je bila sodba prelomna in da zlasti med državami članicami, ki še vedno dovoljujejo hrambo podatkov, vlada precejšnja negotovost o tem, ali je njihova zakonodaja skladna z zahtevami Sodišča EU. Takšno stanje negotovosti zagotovo negativno vpliva na uspešnost prevencije, preiskovanja, pregona kaznivih dejanj, hkrati pa vpliva tudi na uspešnost in učinkovitost mednarodne pravne pomoči.
Prvi sestanek se je osredotočal na argumentacijo potrebe po obstoju hrambe podatkov. Predstavniki držav članic so predstavljali svoje izkušnje pri preiskovanju in pregonu kaznivih dejanj, pri čemer so s konkretnimi primeri ponazorili ključno vlogo podatkov o prometu v elektronskem komunikacijskem omrežju. V veliki večini so poudarjali, da je potrebno hrambo podatkov obdržati. Neobstoj podatkov bo nedvomno oviral preiskave; velikokrat se je namreč v konkretnih zadevah že pripetilo, da zgodovinski podatki o prometu niso bili več na voljo in je bilo potrebno primere zaključiti, saj so preiskovalci zašli v slepo ulico, drugih dokazov pa ni bilo. Negotovost trenutne situacije, ko se ne ve, kakšna je sploh ustrezna ureditev, ki omogoča zakonitost in uporabnost dokazov na sodišču, negativno vpliva tudi na preiskovalce, saj se ukvarjajo s temi vprašanji, namesto da bi se osredotočili na preiskovanje. Prisotni so si bili enotni, da je potrebno podpreti pravosodne organe in policijo, da lahko kvalitetno opravljajo svoje delo - odvzem možnosti hrambe podatkov njihovega dela zagotovo ne podpira, pač pa ga znatno ovira. V drugem delu so predstavniki poročali o trenutnih situacijah in zakonodajah v njihovih državah. Nekatere države so, podobno kot Slovenija, brez ureditve, ki bi uzakonjala obvezno hrambo podatkov o prometu v elektronskem komunikacijskem omrežju, druge čakajo na nacionalna sodišča, da bodo skozi konkretne primere ovrednotila obstoječo zakonodajo, tretje ocenjujejo in argumentirajo predloge pred parlamentom. Predstavniki so razpravljali tudi o tem, kako naj bi izgledala ciljna hramba (»targeted retention«), ki bi bila omejena časovno ali teritorialno. Veliko predstavnikov je izrazilo oceno, da bi se pri takšni hrambi podatkov hitro lahko pojavili očitki o diskriminaciji, zato imajo glede takšne usmeritve precejšnje pomisleke. V zvezi s potrebo po obstoju hrambe podatkov so bili izpostavljeni tudi primeri, ko so ravno hranjeni podatki rešili življenja pogrešanih oseb, pa tudi primeri, ko so se nedolžni razbremenili očitkov o storitvi kaznivega dejanja, saj so jim podatki nudili zadosten alibi. Po zaključenem sestanku smo v sodelovanju z Generalno policijsko upravo pripravili zbir resničnih primerov, kjer so bili historični podatki o prometu ključni za uspešno preiskavo in pregon različnih vrst kaznivih dejanj, in zbir posredovali organizatorjem. Zbir primerov vseh držav članic, ki so sodelovale, bo uporabljen pri nadaljnjih prizadevanjih za ureditev hrambe podatkov na zakonodajni ravni. Predstavniki držav članic so večkrat pozvali k ažurni medsebojni izmenjavi mnenj in izkušenj, ki bi bile lahko v pomoč ostalim.
Na drugem sestanku smo se osredotočili na kategorije podatkov, ki bi se lahko hranili, in na pogoje za dostop do njih. Predstavniki Europol-a so opozorili na zadnjo izkušnjo z virusom WannaCry, ki je pomembna tudi za vprašanje hrambe podatkov. Dejstvo je, da tako obsežnega hekerskega napada v zgodovini ni bilo. Prvič se je tudi pojavila izsiljevalska koda (ransomware) v kombinaciji s črvom, kar je omogočilo izjemno hitro širjenje virusa znotraj lokalnih omrežij, saj je znal sam poiskati luknje v operacijskem sistemu Windows. Za ponovni dostop do zaklenjenih podatkov je bilo potrebno plačati odkupnino v kriptovaluti bitcoin, za katero je značilna popolna anonimizacija uporabnikov. Strokovnjaki se sedaj trudijo ugotoviti IP naslove, ki bi jih v končni fazi pripeljali do osumljencev, ki so odgovorni za ta napad. Že sedaj pa je jasno, da brez shranjenih podatkov o prometu ne bo mogoče identificirati oseb. Predstavniki držav članic so izražali svoja mnenja o kategorizaciji in rangiranju podatkov, do katerih bi bilo mogoče dostopati. Mnenja so bila zelo različna; od takih, ki v kategorizaciji vidijo kompromis in možnost zadostitve kriterijem Sodišča EU, do takih, ki jim kategorizacija predstavlja zgolj dodatno oviro pri preiskovanju kaznivih dejanj. V nadaljevanju je Nemčija pripravila predstavitev svoje nove zakonodaje na področju obvezne hrambe podatkov, ki sicer že velja, uporabljati pa se bo začela julija 2017 - do tedaj ni obvezne hrambe podatkov, pristojni organi pa lahko dostopajo oziroma pridobivajo le podatke, ki jih operaterji hranijo za potrebe poslovanja. Še vedno se trudijo, da bi uskladili zakonodajo z odločbami njihovega sodišča in Sodišča EU. Poročajo, da razlikujejo med obveznostjo hrambe (»storage obligation«) na eni strani in dostopom do in uporabo hranjenih podatkov (»access and use of mandatory retained data«) na drugi strani. Obveznost hrambe velja samo za podatke o prometu, ne pa podatke o vsebini. Hramba za podatke o telefonskem prometu in IP naslovu je omejena na 10 tednov, hramba podatkov o lokaciji pa zaradi občutljivosti le na štiri tedne. Njihova ureditev izrecno izključuje hrambo podatkov, ki se nanaša na določene osebe (gre za osebe, ki se ukvarjajo z dejavnostjo svetovanja in pomoči drugim v stiski). Hramba pride v poštev samo za resna kazniva dejanja in kadar je ogrožena javna varnost. Prav tako je določeno, na koga se lahko nanašajo hranjeni podatki. Do podatkov se vedno lahko pride samo z odredbo, brez izjeme, niti v nujnih primerih ne brez. Določena je tudi dolžnost obveščanja osebe, na katero se podatki nanašajo, o zahtevi po pridobitvi podatkov - izjema je predvidena, ko to lahko škoduje preiskavi - to je v praksi zelo pogosto, obveščanje pa se lahko odloži le na podlagi posebne, nove odredbe. Ko so podatki uporabljeni skladno z namenom in njihova hramba ni več potrebna, jih je potrebno izbrisati. Po kratki razpravi so predstavniki držav članic tudi sami predstavljali ureditve, pri čemer smo sodelovali tudi Slovenci.
Zakonsko urejanje hrambe podatkov je zaradi pomembnosti podatkov za kazenske postopke ena izmed prioritet. Predvidenih je še nekaj sestankov, kjer se bo dalje analiziralo zlasti decembrsko sodbo Sodišča EU in razpravljalo o možnih rešitvah, ki bi bile lahko uporabljene tudi na zakonski ravni.
Nazaj
Udeležba na sestanku o izmenjavi informacij in hrambi podatkov
DAPIX je delovna skupina za izmenjavo informacij in varstvo podatkov, ki deluje pod okriljem Sveta Evropske unije. Njena osrednja naloga je delo v zvezi z izvajanjem zakonodaje in politik, ki se nanašajo na izmenjavo informacij in varstvo osebnih podatkov na področju kazenskega pregona. V zadnjem času je ena izmed najbolj aktualnih tem vprašanje zakonitosti hrambe podatkov (Data Retention) v povezavi s sodbama Sodišča Evropske unije z dne 8. aprila 2014, ki je razveljavila Direktivo o hrambi podatkov, in z dne 21. decembra 2016.
Na podlagi prve sodbe Sodišča EU v združenih zadevah C-293/12 in C-594/12 je Ustavno sodišče RS 3. julija 2014 s svojo odločbo U-I-65/13-19 razveljavilo celotno 13. poglavje Zakona o elektronskih komunikacijah (ZEKom-1), ki je operaterjem nalagalo obvezno hrambo podatkov v javnem komunikacijskem omrežju. Od tedaj Slovenija določb o obvezni hrambi podatkov nima. Na takšen način pa niso postopala sodišča vseh držav članic EU, saj so bili ponekod mnenja, da je zakonska ureditev hrambe podatkov stvar nacionalne zakonodaje. Z drugo sodbo Sodišča EU (združeni zadevi C-203/15 in C-698/15, v javnosti bolj znana kot »Tele2 and Watson case«), je sodišče jasno zaključilo, da pravo EU ne dovoljuje splošne in nediskriminatorne hrambe prometnih in lokacijskih podatkov. Še vedno pa je v rokah držav članic, da uredijo t.i. “ciljno hrambo podatkov” z namenom boja proti resnemu kriminalu. Najbrž je odveč pojasnjevati, da je bila sodba prelomna in da zlasti med državami članicami, ki še vedno dovoljujejo hrambo podatkov, vlada precejšnja negotovost o tem, ali je njihova zakonodaja skladna z zahtevami Sodišča EU. Takšno stanje negotovosti zagotovo negativno vpliva na uspešnost prevencije, preiskovanja, pregona kaznivih dejanj, hkrati pa vpliva tudi na uspešnost in učinkovitost mednarodne pravne pomoči.
Prvi sestanek se je osredotočal na argumentacijo potrebe po obstoju hrambe podatkov. Predstavniki držav članic so predstavljali svoje izkušnje pri preiskovanju in pregonu kaznivih dejanj, pri čemer so s konkretnimi primeri ponazorili ključno vlogo podatkov o prometu v elektronskem komunikacijskem omrežju. V veliki večini so poudarjali, da je potrebno hrambo podatkov obdržati. Neobstoj podatkov bo nedvomno oviral preiskave; velikokrat se je namreč v konkretnih zadevah že pripetilo, da zgodovinski podatki o prometu niso bili več na voljo in je bilo potrebno primere zaključiti, saj so preiskovalci zašli v slepo ulico, drugih dokazov pa ni bilo. Negotovost trenutne situacije, ko se ne ve, kakšna je sploh ustrezna ureditev, ki omogoča zakonitost in uporabnost dokazov na sodišču, negativno vpliva tudi na preiskovalce, saj se ukvarjajo s temi vprašanji, namesto da bi se osredotočili na preiskovanje. Prisotni so si bili enotni, da je potrebno podpreti pravosodne organe in policijo, da lahko kvalitetno opravljajo svoje delo - odvzem možnosti hrambe podatkov njihovega dela zagotovo ne podpira, pač pa ga znatno ovira. V drugem delu so predstavniki poročali o trenutnih situacijah in zakonodajah v njihovih državah. Nekatere države so, podobno kot Slovenija, brez ureditve, ki bi uzakonjala obvezno hrambo podatkov o prometu v elektronskem komunikacijskem omrežju, druge čakajo na nacionalna sodišča, da bodo skozi konkretne primere ovrednotila obstoječo zakonodajo, tretje ocenjujejo in argumentirajo predloge pred parlamentom. Predstavniki so razpravljali tudi o tem, kako naj bi izgledala ciljna hramba (»targeted retention«), ki bi bila omejena časovno ali teritorialno. Veliko predstavnikov je izrazilo oceno, da bi se pri takšni hrambi podatkov hitro lahko pojavili očitki o diskriminaciji, zato imajo glede takšne usmeritve precejšnje pomisleke. V zvezi s potrebo po obstoju hrambe podatkov so bili izpostavljeni tudi primeri, ko so ravno hranjeni podatki rešili življenja pogrešanih oseb, pa tudi primeri, ko so se nedolžni razbremenili očitkov o storitvi kaznivega dejanja, saj so jim podatki nudili zadosten alibi. Po zaključenem sestanku smo v sodelovanju z Generalno policijsko upravo pripravili zbir resničnih primerov, kjer so bili historični podatki o prometu ključni za uspešno preiskavo in pregon različnih vrst kaznivih dejanj, in zbir posredovali organizatorjem. Zbir primerov vseh držav članic, ki so sodelovale, bo uporabljen pri nadaljnjih prizadevanjih za ureditev hrambe podatkov na zakonodajni ravni. Predstavniki držav članic so večkrat pozvali k ažurni medsebojni izmenjavi mnenj in izkušenj, ki bi bile lahko v pomoč ostalim.
Na drugem sestanku smo se osredotočili na kategorije podatkov, ki bi se lahko hranili, in na pogoje za dostop do njih. Predstavniki Europol-a so opozorili na zadnjo izkušnjo z virusom WannaCry, ki je pomembna tudi za vprašanje hrambe podatkov. Dejstvo je, da tako obsežnega hekerskega napada v zgodovini ni bilo. Prvič se je tudi pojavila izsiljevalska koda (ransomware) v kombinaciji s črvom, kar je omogočilo izjemno hitro širjenje virusa znotraj lokalnih omrežij, saj je znal sam poiskati luknje v operacijskem sistemu Windows. Za ponovni dostop do zaklenjenih podatkov je bilo potrebno plačati odkupnino v kriptovaluti bitcoin, za katero je značilna popolna anonimizacija uporabnikov. Strokovnjaki se sedaj trudijo ugotoviti IP naslove, ki bi jih v končni fazi pripeljali do osumljencev, ki so odgovorni za ta napad. Že sedaj pa je jasno, da brez shranjenih podatkov o prometu ne bo mogoče identificirati oseb. Predstavniki držav članic so izražali svoja mnenja o kategorizaciji in rangiranju podatkov, do katerih bi bilo mogoče dostopati. Mnenja so bila zelo različna; od takih, ki v kategorizaciji vidijo kompromis in možnost zadostitve kriterijem Sodišča EU, do takih, ki jim kategorizacija predstavlja zgolj dodatno oviro pri preiskovanju kaznivih dejanj. V nadaljevanju je Nemčija pripravila predstavitev svoje nove zakonodaje na področju obvezne hrambe podatkov, ki sicer že velja, uporabljati pa se bo začela julija 2017 - do tedaj ni obvezne hrambe podatkov, pristojni organi pa lahko dostopajo oziroma pridobivajo le podatke, ki jih operaterji hranijo za potrebe poslovanja. Še vedno se trudijo, da bi uskladili zakonodajo z odločbami njihovega sodišča in Sodišča EU. Poročajo, da razlikujejo med obveznostjo hrambe (»storage obligation«) na eni strani in dostopom do in uporabo hranjenih podatkov (»access and use of mandatory retained data«) na drugi strani. Obveznost hrambe velja samo za podatke o prometu, ne pa podatke o vsebini. Hramba za podatke o telefonskem prometu in IP naslovu je omejena na 10 tednov, hramba podatkov o lokaciji pa zaradi občutljivosti le na štiri tedne. Njihova ureditev izrecno izključuje hrambo podatkov, ki se nanaša na določene osebe (gre za osebe, ki se ukvarjajo z dejavnostjo svetovanja in pomoči drugim v stiski). Hramba pride v poštev samo za resna kazniva dejanja in kadar je ogrožena javna varnost. Prav tako je določeno, na koga se lahko nanašajo hranjeni podatki. Do podatkov se vedno lahko pride samo z odredbo, brez izjeme, niti v nujnih primerih ne brez. Določena je tudi dolžnost obveščanja osebe, na katero se podatki nanašajo, o zahtevi po pridobitvi podatkov - izjema je predvidena, ko to lahko škoduje preiskavi - to je v praksi zelo pogosto, obveščanje pa se lahko odloži le na podlagi posebne, nove odredbe. Ko so podatki uporabljeni skladno z namenom in njihova hramba ni več potrebna, jih je potrebno izbrisati. Po kratki razpravi so predstavniki držav članic tudi sami predstavljali ureditve, pri čemer smo sodelovali tudi Slovenci.
Zakonsko urejanje hrambe podatkov je zaradi pomembnosti podatkov za kazenske postopke ena izmed prioritet. Predvidenih je še nekaj sestankov, kjer se bo dalje analiziralo zlasti decembrsko sodbo Sodišča EU in razpravljalo o možnih rešitvah, ki bi bile lahko uporabljene tudi na zakonski ravni.