Nickolay Kiskinov/Николай Кискинов

[Български]

Анализ на решенията на ВАС по жалбата срещу Наредба № 40 относно запазването на данни за потребителите в електронните съобщения

На 11ти декември 2008 Върховният административен съд в петчленен състав като касационна инстанция се произнесе по жалбата срещу Наредба № 40 за категориите данни и реда, по който се съхраняват и предоставят от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, за нуждите на националната сигурност и за разкриване на предстъпления. Решението на ВАС по жалбата е, че се отменя чл. 5 на Наредба № 40, в който се регламентира възможността за предоставяне на достъп до събраните от операторите данни за потребителите. В настоящето изложение ще бъдат разгледани основните аргументи, посочени в жалбата, мотивите на съда, последиците от решението върху Наредба № 40, както и ще бъде направен анализ на приложението на Директива 2006/24 в българското законодателство.

Основните аргументи за незаконосъобразността на Наредба 40 са следните:

• Не са предвидени гаранции относно злоупотребата с данните при предоставянето им на държавните органи;
• Директива 2006/24 изрично ограничава събирането и предоставянето на данните да се извършва за разследването, разкриването и преследването на тежки предстъпления. В Наредба № 40 думата тежки е пропусната, което разширява приложното поле на Наредбата спрямо всички видове престъпления, предвидени в Наказателния кодекс.
• Отношенията, които урежда Наредбата трябва да бъдат регулирани на ниво закон, а не с подзаконов нормативен акт.

В решението си от 11ти декември 2008 ВАС приема аргументите, че в Наредба 40 не са предвидени гаранции срещу злоупотребата с данните при предоставянето им на държавните органи и отменя чл. 5 на Наредбата. По този начин съдът на практика ограничава възможността на държавните органи да имат достъп до данните по предвидения до този момент ред. Но това не означава, че тези данни не продължават да се събират от доставчиците на електронни съобщителни услуги пак по силата на Наредба 40 и Закона за електронните съобщения. Нещо повече - тези данни продължават да се събират за точно определени цели, посочени в чл. 1, ал. 1 на Наредбата, а именно за „съхраняват и предоставят за нуждите на националната сигурност и за разкриване на престъпления”. Отмяната на чл. 5 от Наредбата всъщност не предоставя гаранции на гражданите по отношение събираните за тях данни.

Последиците от решението на ВАС по наредбата могат да бъдат разгледани от множество перспективи, но трябва да се отбележи, че то установява съдебна практика, която ще бъде занапред критерий за тълкуването на понятия и критерии за защита на основни права на гражданите при събирането на лични данни за тях. В този смисъл двете решения на ВАС могат да бъдат определени като фундаментални за регулацията в сектора на електронните съобщения по отношение на защитата на данните на потребителите.

Основните въпроси, които се разглеждат в двете решения относно Наредба № 40 са относно понятието serious crime, гаранциите за защита на данните и възможността такива обществени отношения да бъдат уреждани с подзаконов нормативен акт. Всъщност това са и основните въпроси, които се дискутират по принцип в областта на защитата на личните данни.

Съгласно чл. 1 от официалния български превод на Директива 2006/24, тя има за цел следното:

„Настоящата директива има за цел да хармонизира разпоредбите на държавите-членки, свързани със задълженията на доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи по отношение запазването на някои данни, които са създадени или обработени от тях, за да се гарантира, че данните са достъпни за разследването, разкриването и преследването на сериозни престъпления, както те са определени в националното право на всяка държава-членка.”

Видно от текста на посочената разпоредба е, че Директивата определя понятието сериозни престъпления като препраща към дефиницията, установена в правната система на всяка държава членка. В България понятието сериозни престъпления няма легална дефиниция. В чл. 93, ал. 7 на Назателния кодекс обаче е дефинирано едно от основните понятия на наказателното право, а именно понятието за тежко престъпление. Съгласно посочената дефиниция тежко престъпление е е „това, за което по закона е предвидено наказание лишаване от свобода повече от пет години, доживотен затвор или доживотен затвор без замяна”.

В допълнение към горното може да се посочи и английския превод на посочената разпоредба на Директивата:

“This Directive aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data which are generated or processed by them, in order to ensure that the data are available for the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law.”

Анализът на решението на първата инстанция на ВАС при разглеждането на наредбата обаче води до противопожния извод. Разсъжденията на съда са следните:

„Терминът “сериозно” престъпление използван в директивата не ограничава данните, които следва да се съхраняват, респ. Непосочването му в цитираната законова норма и наредбата не разширява обхвата й. Това е така, защото този термин не е тъждествен на “тежко” престъпление по смисъла на НК. Определение за понятието “сериозно престъпление” е дадено в Съвместно действие от 03.12.1999 г. 96/699/ПВР на Съвета на Европа, прието на основание чл. К.3 от Договора за Европейския съюз относно прането на пари, идентифициране, издирване, замразяване, изземване и конфискация на средствата и облагите от престъпление, и това са престъпления, наказуеми с лишаване от свобода или с мярка за неотклонение повече от една година. С оглед на това степента на обществена опасност на деянията, които общностното право визира като “сериозни престъпления” е по-ниска от понятието “тежко престъпление” по чл. 97, т. 7 от НК, а именно престъпления, за които се предвижда наказание лишаване от свобода за повече от пет години, доживотен затвор или доживотен затвор без замяна.”

В отклонение от изискването на Директива 2006/24 сериозните престъпления да са тези по смисъла на правото на държавата членка, съдът тълкува това понятие както е определено в съвместно действие на Съвета на Европа. Без да коментирам доколко това е допустима техника на тълкуване на правни понятия, очевидно е, че съдът е следвало да потърси дефиниция за сериозни престъпления само в наказателно-правите норми на Република България, както и изисква Директива 2006/24.

Терминът serious crime е преведен неправилно в българската редакция на Директива 2006/24 като сериозни престъпления - понятие, което не е известно на българското наказателно право. Разумното тълкуване при липсата на понятие за серизни престъпления е то да се припознае в понятието тежки престъпления. Това е и логичният извод от тълкуването на целите на Директива 2006/24.

В допълнение към горното следва да се има предвид, че независимо от разсъжденията на съда относно понятието, в Наредба 40 и в чл. 251 на Закона за електронните  съобщения не се съдържа понятието сериозни или тежки престъпления. Следователно Наредба 40 не е съобразена с приложното поле на Директива 2006/24 тъй като в нея се посочват всички престъпления, а не само сериозни или тежки както изисква Директивата. Дори само този аргумент е основание да се отмени цялата Наредба 40.

ВАС обаче възприема друга посока на разсъждения, като установява дефиниция на правно понятие, което е неизвестно на българската правна система. Последиците от това решение могат да бъдат обобщени както следва:

• 1. В българското право вече е установена дефиниция за „сериозно престъпление”. Съгласно мотивите на ВАС това са престъпления, наказуеми с лишаване от свобода или с мярка за неотклонение повече от една година.
• 2. Занапред всички директиви и регламенти, които уреждат „serious crime” ще се тълкуват и превеждат от българските държавни органи и съда като „сериозни престъпления”, както е посочено в т. 1;

Въпросът за противоречието на приложното поле и в частност тълкуването на сериозни престъпления е разгледано от ВАС и качеството му на касационната инстанция по обжалването на същата Наредба. Разсъжденията на ВАС в този случай са следните:

„Издателите на акта са съобразили предмета на наредбата с делегираните им правомощия. Възраженията на касационния жалбоподател, че заменянето на израза „сериозни престъпления” просто с „престъпления” противоречи на изискването на Директива 2006/24, както и с чл. 8 на ЕКПЧ не може да бъде обсъждано в настоящото решение, тъй като изразът е заложен в чл. 34, ал. 2 от Конституцията на Република България и в чл. 251, ал. 1 от ЗЕС, а не в издадения въз основа на него подзаконов нормативен акт.”

Всъщност с горното ВАС установява, че не може да се произнесе по противоречието защото изразът „сериозни” престъпления бил заложен в чл. 34, ал. 2 от Конституцията. Анализът на посочената конституционна норма обаче води до друг извод. Терминът сериозно престъпление не се съдържа в чл. 34, ал. 2 на Конституцията. Вместо това е използван познатия на българското конституционно и наказателно право термин „тежко престъпление”

Противно на разсъжденията на ВАС този термин не се съдържа и в чл. 241, ал. 1 от Закона за електронните съобщения, в който в противоречие с изискванията на Директива 2006/24 се предвижда събирането на данни за потребителите да се отнася за всички престъпления, а не само за тежките по смисъла на Наказателния кодекс.

От изложеното до момента може да се направи извод, че разсъжденията на ВАС относно понятията тежки престъпления във връзка с оспорването на Наредба 40 са неприемливи и не съответстват на правната действителност. Двете решения установяват практика, която не съответства на целите на правната рамка на защита на личните данни в Европейския съюз и в България.

Какво предстои?

Докато продължаваше обжалването на Наредба 40 във ВАС, в Народното събрание се внесе проект за изменение на Закона за електронните съобщения. В редакцията, публикувана на сайта на Народното събрание се предвижда изменение на чл. 251 както следва:

§ 57. В чл. 251 се правят следните изменения и допълнения:

1. Алинея 1 се изменя така:

„(1) За нуждите на националната сигурност, както и за предотвратяване и разкриване на престъпления предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, съхраняват за срок 12 месеца определени категории данни. Данни, разкриващи съдържанието на съобщенията, не могат да бъдат съхранявани по този ред.”

2. В ал. 2 след думите „министъра на вътрешните работи” се поставя запетая и се добавя „председателя на Държавна агенция „Национална сигурност”.

Видно от анализите на посоченото изменение е, че обхватът на събирането и предоставянето на данните не е променен. Вместо това е добавено, че данните могат да се събират и за предотвратяване на престъпления.

По този законопроект е предоставено следното становище от СЕК:

19. По отношение на пар. 50 на Проекта: Считаме, че текстът на чл. 251, ал. 1 е необходимо да бъде изменен, както следва: Чл. 251. (1) За нуждите на националната сигурност, както за предотвратяване и разкриване на тежки престъпления, предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, съхраняват за срок от 12 месеца определени категории данни. Данни, разкриващи съдържанието на съобщенията, не могат да бъдат съхранявани по този ред.

С разпоредбата на чл. 251, ал. 1 от ЗЕС в българското законодателство се въвеждат изискванията на Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/ЕС (Директива 2006/24/ЕО).

Според чл.1, ал. 1 на Директива 2006/24/ЕО, определящ нейния предмет и обхват, целта на Директивата е хармонизиране на законите на държавите-членки, свързани със задълженията на определени доставчици (на обществено достъпни електронни съобщителни услуги или обществени съобщителни мрежи) да съхраняват някои данни с цел гарантиране на тяхната достъпност за разследването, разкриването и преследването на сериозни престъпления, както са дефинирани последните от всяка страна членка в националното й законодателство.

Съгласно чл. 93, т. 7 на Наказателния кодекс, еквивалентният на „сериозни” престъпления в националното ни законодателство е терминът „тежки” престъпления - а именно, престъпления, за които се налага наказание лишаване от свобода повече от 5 години, доживотен затвор или доживотен затвор без замяна.

С оглед съобразяване с предмета на регулиране на Директива 2006/24/ЕО е необходимо и предложеното в чл. 251, ал. 1 от ЗЕС допълнение, а именно, че данните се съхраняват от доставчиците единствено с цел разкриване и преследване на тежки престъпления - т.е. престъпления, за които законодателят е преценил, че са с изключително висока степен на обществена опасност и затова е определил като по-тежко наказуеми.

В Народното събрание дискусиите относно изменението на чл. 251 от Закона за електронните съобщения са се съсредоточили върху следната редакция:

Чл.251. (1) За нуждите на националната сигурност, както и за предотвратяване и разкриване на тежки престъпления, предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, съхраняват за срок от 6 месеца данни, необходими за проследяване и идентифициране на източника на връзката, за идентифициране направлението на връзката, датата, часа и продължителността на връзката, типа на връзката, за идентифициране на крайното електронно съобщително устройство на потребителя или на това, което се представя за негово крайно устройство, както и необходими за идентифициране на местоположението на мобилно съобщително оборудване. Данни, разкриващи съдържанието на съобщенията, не могат да бъдат съхранявани по този ред.

(2) Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги са длъжни да унищожат данните по ал. 1 след изтичане на срока на съхранението им.

(3) Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги осигуряват достъп на компетентните дирекции по Закона за Министерството на вътрешните работи и Закона за Държавна агенция „Национална сигурност” до съхраняваните данни по ал. 1. Достъпът се осъществява при условия и по ред, предвидени в Закона за специалните разузнавателни средства.

(4) Достъпът, съхранението, обработката и унищожаването на данните, събирани по реда на настоящия член и информацията, получена в следствие на обработката им, се извършват по ред и при условия, уредени в Закона за специалните разузнавателни средства.

(5) Характеристиките на данните по ал.1, както и редът, по който се осигурява защитата на сигурността при съхраняването им се определят с наредба на министъра на вътрешните работи, председателя на Държавната агенция за национална сигурност и председателя на Държавната агенция за информационни технологии и съобщения.

6) Контролът за спазването на разпоредбите на този член и на подзаконовите актове за прилагането му се извършва от МВР.

Последиците от това изменение са следните:

• 1. Въвежда се правилно понятието „тежки престъпления”;
• 2. Предвижда се достъпът до данните да се осъществява по реда на Закона за специалните разузнавателни средства;
• 3. Срокът за съхранение на данните се намалява от 12 месеца на 6 месеца;
• 4. Добавя се, че данните могат да бъдат събирани не само за разследване, но и предостврятяване на тежки престъпления;

Дали обаче и тези планирани изменения редакция съответстват на Директива 2006/24? Директивата предвижда, че данните на потребителите могат да бъдат събирани и за разследването, разкриването и преследването  (investigation, detection and prosecution )на тежки престъпления. Нашият законодател е решил да се ограничи до прилагането на първите два способа „разследване и разкриване”. Въпреки, че преследването на важна функция, тя не е попаднала в новото изменение на чл. 251 от ЗЕС. Ако приемем, че това е осъзнато законодателно решение вероятно има причина за това ограничение. При всички случаи обаче това ще означава, че Директива 2006/24 се прилага в България, без са взети в предвид всички нейни изисквания. Все пак до окончателното приемане на Закона за изменение на Закона за електронните съобщения не могат да се правят категорични изводи.

Колизия между разсъжденията на ВАС и планираните изменения на Закона за електронните съобщения

От изложеното до момента може да се направи извод, че са налице сериозни противоречия между интерпретирането на законодателя и Върховния административен съд в планираните изменения в Закона за електронните съобщенния. Докато ВАС постановява, че терминът „сериозни престъпления” от Директива 2006/24 не съответства на термина „тежки престъпления” по смисъла на Наказателния кодекс, в Народното събрание се подготвят изменения, които са насочени именно в обратната посока - добавяне на думата тежки в текста на чл. 251 от Закона за електронните съобщения и при това с мотив, че Директива 2006/24 го изисква. Трябва да се посочи, че това е правилна стъпка в съобразяването на закона и Наредба 40 с изискванията на Директива 2006/24.

Мотивите на решенията на ВАС обаче по Наредба 40 установяват практика, с която държавните органи трябва да се съобразяват дори и при подготвката на новите нормативни актове. В този смисъл въпреки, че изглежда, че проблемите с Наредба 40 ще бъдат разрешени чрез изменение на Закона за електронните съобщения, наблюдава се опасност от сериозни различия в интерпретирането и тълкуването на нормите на българското и европейското законодателство. Поради това е наложително занапред ВАС и законодателят да проявяват повишено внимание, за да се избегне установяване на неправилна практика в тези доскоро непознати и чувствителни на гражданското общество отношения.

Адв. Николай Кискинов

13 декември 2008 г.

[/Български]
[english]New post in english.[/english]