Мобільні технології та межі приватності: європейський досвід доступу до персональних даних і його значення для України

09:00, 9 жовтня 2024
Рішення Суду справедливості ЄС від 4 жовтня 2024 року у справі про отримання доступу до персональних даних, що зберігаються на мобільному телефоні, проливає світло на те, як можуть співіснувати інтереси правосуддя і захисту персональних даних.
Мобільні технології та межі приватності: європейський досвід доступу до персональних даних і його значення для України
Слідкуйте за найактуальнішими новинами в наших групах Facebook та Telegram.

ДРОЗДОВ Олександр Михайлович

професор, доктор юридичних наук,

заслужений юрист України, адвокат,

член Комісії з питань правової реформи при Президентові України,

заступник голови Галузевої експертної ради з галузі знань 08 “Право” НАЗЯВО,

член Науково-консультативних рад при Конституційному Суді України та Верховному Суді,

професор кафедри кримінально-правових та адміністративно-правових дисциплін Юридичного факультету ПВНЗ «МЕГУ імені академіка Степана Дем’янчука», (м. Рівне, Україна)

доцент кафедри кримінального процесу Національного юридичного університету імені Ярослава Мудрого (м. Харків, Україна)

ДРОЗДОВА Олена Валеріївна

доцентка, кандидатка юридичних наук, адвокатка,

професорка кафедри кримінального права та кримінології, міжнародного публічного права та міжнародних відносин Юридичного факультету Університету Барселони (м. Барселона, Королівство Іспанія)

доцентка кафедри кримінально-правових та адміністративно-правових дисциплін Юридичного факультету ПВНЗ «МЕГУ імені академіка Степана Дем’янчука», (м. Рівне, Україна)

Розвиток мобільних технологій та стрімке збільшення використання персональних пристроїв створюють нові виклики для правової системи. Особливо це стосується доступу до персональних даних, що зберігаються на мобільних телефонах, та захисту права на приватність. Рішення Суду справедливості ЄС від 4 жовтня 2024 року у справі про отримання доступу до персональних даних, що зберігаються на мобільному телефоні (справа C-548/21)[1] проливає світло на те, як можуть співіснувати інтереси правосуддя і захисту персональних даних. Це питання є актуальним і для України, де розвиток цифрових технологій та євроінтеграційні прагнення також обумовлюють удосконалення правових норм.

Суть проблеми полягає в забезпеченні дотримання балансу між двома ключовими аспектами:

  1. Право на приватність та захист персональних даних, зокрема даних, що зберігаються на мобільних пристроях.
  2. Необхідність забезпечення ефективних засобів боротьби зі злочинністю, які передбачають доступ до цих даних.

Рішення Суду ЄС у справі C-548/21 стосується питання про те, чи може поліція отримати доступ до персональних даних без попереднього дозволу суду або незалежного органу, навіть якщо злочин не є тяжким. Ця ситуація піднімає проблеми щодо втручання в приватне життя громадян та застосування принципу пропорційності в подібних справах.

Суду ЄС у рішенні по справі C-548/21 зазначив, що доступ поліції до даних, що містяться в мобільному телефоні, не обов'язково обмежується боротьбою з тяжкими злочинами

Однак такий доступ передбачає попередній дозвіл суду або незалежного органу і повинен бути пропорційним.

Доступ поліції під час досудового розслідування до персональних даних, що зберігаються на мобільному телефоні, може становити серйозне або навіть особливо серйозне втручання у фундаментальні права суб’єкта даних. Однак він не обов'язково обмежується лише боротьбою з тяжкими злочинами. Національне законодавство повинне визначати фактори, які слід брати до уваги для надання такого доступу, такі як характер або категорії відповідних кримінальних правопорушень. Щоб забезпечити дотримання принципу пропорційності у кожній конкретній справі, що передбачає зважування всіх відповідних факторів у кожному індивідуальному випадку, доступ повинен, крім того, підлягати попередньому дозволу суду або незалежного органу, за винятком належним чином обґрунтованих випадків терміновості. Суб’єкт даних повинен бути поінформований про підстави для такого дозволу, як тільки надання цієї інформації більше не буде загрожувати розслідуванню.

Обставини справи. Австрійська поліція вилучила мобільний телефон одержувача посилки після виявлення, під час перевірки на наркотики, що в цій посилці містилося 85 грамів канабісу. Далі поліція безуспішно намагалася розблокувати мобільний телефон, щоб отримати доступ до даних, що містяться в ньому. У неї не було дозволу від прокуратури або суду, вона не задокументувала свою спробу розблокування телефону і не поінформувала про це заінтересовану особу.

Ця особа оскаржила вилучення свого мобільного телефону в австрійському суді. Лише під час цих судових розглядів вона дізналася про спроби розблокувати телефон. Австрійський суд звернувся до Суду ЄС з питанням про те, чи відповідає законодавство Австрії, яке, на думку цього суду, дозволяє поліції діяти таким чином, законодавству ЄС. Йдеться саме про застосування Директиви Європейського Парламенту та Ради 2016/680 від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних компетентними органами з метою запобігання, розслідування, виявлення чи переслідування за кримінальні правопорушення або для виконання кримінальних покарань, а також щодо вільного переміщення таких даних[1]. Він зазначає, що правопорушення, в якому звинувачують відповідну особу, карається максимальним строком позбавленням волі в один рік і, отже, становить лише незначне правопорушення.

Позиція Суду. Суд ЄС спочатку зазначив, що, всупереч твердженням деяких урядів, відповідне законодавство ЄС застосовується не лише у випадку успішного доступу до персональних даних, що містяться в мобільному телефоні, але й у випадку спроби отримати доступ до цих даних.

Далі він констатував, що доступ до всіх даних, що містяться в мобільному телефоні, може становити серйозне або навіть особливо серйозне втручання у основоположні права суб’єкта даних. Насправді ці дані, до яких можуть входити повідомлення, фотографії та історія перегляду в Інтернеті, можуть, залежно від обставин, дозволити зробити дуже точні висновки щодо приватного життя суб'єкта даних. Крім того, вони можуть включати особливо конфіденційні дані.

Серйозність правопорушення, яке розслідується, є одним із головних параметрів при оцінці пропорційності такого серйозного втручання. Однак вважати, що тільки боротьба з тяжкими злочинами може виправдати доступ до даних, що містяться в мобільному телефоні, означало б необґрунтовано та надмірно обмежити слідчі повноваження компетентних органів. Це призвело б до підвищеного ризику безкарності за кримінальні правопорушення загалом, а отже, і до ризику для створення простору свободи, безпеки та правосуддя в Європейському Союзі.

Проте таке втручання в приватне життя та захист даних має бути передбачене законом, що передбачає, що національне законодавство повинне з достатньою точністю визначати фактори, які слід брати до уваги, зокрема характер або категорії відповідних правопорушень.

Крім того, доступ має бути підданий попередньому розгляду, здійсненому судом або незалежним адміністративним органом, за винятком належним чином обґрунтованих випадків терміновості. У такому терміновому випадку розгляд має бути здійснений невідкладно.

Такий розгляд повинен забезпечити справедливий баланс між, з одного боку, законними інтересами, пов'язаними з потребами розслідування в контексті боротьби зі злочинністю, і, з іншого боку, фундаментальними правами на приватне життя та захист персональних даних.

Нарешті, суб’єкт даних повинен бути поінформований про підстави, на яких ґрунтується дозвіл на доступ до його даних, як тільки повідомлення цієї інформації більше не буде загрожувати розслідуванню. У цій справі суб'єкт даних знав, що його мобільний телефон було вилучено, коли австрійські правоохоронні органи безуспішно намагалися його розблокувати, щоб отримати доступ до даних, що містяться в ньому. За таких обставин інформування його про те, що ці органи збираються спробувати отримати доступ до цих даних, не видається таким, що може поставити під загрозу розслідування; відповідно, його слід було попередньо про це повідомити.

Український контекст. Частина 6 статті 236 Кримінального процесуального кодексу України (КПК) встановлює, що слідчий, прокурор під час проведення обшуку має право відкривати закриті приміщення, сховища, речі, долати системи логічного захисту, якщо особа, присутня при обшуку, відмовляється їх відкрити чи зняти (деактивувати) систему логічного захисту або обшук здійснюється за відсутності осіб, зазначених у частині третій цієї статті.

Якщо під час обшуку слідчий, прокурор виявив доступ чи можливість доступу до комп’ютерних систем або їх частин, мобільних терміналів систем зв’язку, для виявлення яких не надано дозвіл на проведення обшуку, але щодо яких є достатні підстави вважати, що інформація, що на них міститься, має значення для встановлення обставин у кримінальному провадженні, прокурор, слідчий має право здійснити пошук, виявлення та фіксацію комп’ютерних даних, що на них міститься, на місці проведення обшуку.

У порівнянні з рішенням Суду справедливості ЄС у справі C-548/21, ключовими вимогами є дотримання принципу пропорційності та попередній судовий контроль при доступі до персональних даних, що містяться на мобільних пристроях. Рішення Суду справедливості ЄС встановлює, що навіть для незначних злочинів доступ до персональних даних має бути виправданий і дозволений судом або незалежним органом, окрім випадків терміновості.

На основі наведеного рішення Суду справедливості ЄС та змісту частини 6 статті 236 КПК України, можна зробити висновок, що ця норма українського законодавства не повністю відповідає вимогам, встановленим у рішенні Суду ЄС. Ось кілька ключових моментів.

  1. Законодавче визначення обставин. Національне кримінально-процесуальне законодавство повинно чітко визначати обставини, які необхідно враховувати при наданні доступу до даних у відповідних випадках. Серед цих обставин особливу увагу слід приділити характеру або категоріям правопорушень. Це дозволить забезпечити прозорість і обґрунтованість прийняття рішень, а також сприятиме дотриманню вимозі пропорційності під час доступу до персональних даних.
  2. Проблема попереднього судового або незалежного дозволу. Рішення Суду ЄС вимагає, щоб доступ до даних мобільного телефону був санкціонований попереднім судовим контролем, за винятком належним чином обґрунтованих випадків терміновості. Втім, на нашу думку, така терміновість не виключає необхідність наступного судового контролю. Однак у положеннях КПК України відсутня чітка вимога щодо отримання дозволу слідчого судді на доступ до таких даних до проведення обшуку або безпосереднього доступу до мобільного телефону. Крім того, в українському законодавстві не визначено критеріїв для оцінки терміновості та не передбачено обов'язковості належного обґрунтування таких випадків.

Фактично, слідчий самостійно приймає рішення щодо доступу до даних під час обшуку на підставі поточних обставин, без попереднього дозволу суду, що фактично дозволяє йому діяти без зовнішнього незалежного контролю. Це, на нашу думку, прямо суперечить вимогам, викладеним у рішенні Суду ЄС, яке чітко встановлює необхідність попереднього судового контролю для забезпечення балансу між правом на приватність і інтересами розслідування.

  1. Пропорційність. Суд ЄС підкреслив важливість забезпечення справедливого балансу між потребами розслідування та фундаментальними правами на приватність і захист персональних даних. Це передбачає, що доступ до даних має бути чітко обмежений законодавчими рамками та враховувати серйозність злочину. Однак частина 6 КПК України дозволяє доступ до комп'ютерних систем і мобільних терміналів на підставі наявності підстав вважати, що інформація є важливою, без обов'язкового врахування серйозності правопорушення як критерію для надання такого доступу. Це може призвести до ризику непропорційного втручання в приватне життя громадян
  2. Інформування суб'єкта даних. Рішення Суду ЄС також передбачає, що особа має бути проінформована про підстави для доступу до її даних, як тільки це не буде шкодити розслідуванню. Слід звернути увагу на випадки, якщо суб'єкт даних знає, що його мобільний телефон вилучено, коли правоохоронні органи безуспішно намагаються його розблокувати, щоб отримати доступ до даних, що містяться в ньому. За таких обставин інформування його про те, що ці органи збираються спробувати отримати доступ до цих даних, не видається таким, що може поставити під загрозу розслідування; відповідно, такого суб’єкта слід попередньо про це повідомити.

Висновок. Частина 6 статті 236 КПК України не повністю відповідає вимогам, встановленим рішенням Суду справедливості ЄС. Основні розбіжності полягають у відсутності попереднього судового контролю, недостатній чіткості критеріїв пропорційності при доступі до даних, а також у відсутності зобов'язання відповідного поінформування суб'єкта даних. Для приведення українського законодавства та практики його застоування у відповідність до європейської практики необхідні зміни, спрямовані на забезпечення більшого захисту приватності.

[1] URL: https://curia.europa.eu/jcms/jcms/p1_4584747/en/

[2] URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.

Ростислав Шурма пояснив, чи скасують в Україні обіг готівки та що для цього треба
Ростислав Шурма пояснив, чи скасують в Україні обіг готівки та що для цього треба
Головне за день