Боравенето с личните данни в САЩ подвига сериозни въпроси в Европа, а България подписва споразумения с Вашингтон и май отново тича пред вятъра
На 23 септември 2016 г. вътрешният министър Румяна Бъчварова подписа във Вашингтон споразумение за обмен на пръстови отпечатъци и ДНК профили със САЩ, за което самата тя призна, че е изготвено в необичайно кратки срокове. Оказа се, че България е първата европейска страна, която подписва подобна спогодба със Съединените щати с официално прокламираната цел – сътрудничество в предотвратяването и борбата с тежката престъпност и тероризма. Българската страна има и един допълнителен мотив – финализирането на споразумението било една от предпоставките за постигане на напредък в преговорите за безвизов режим между двете страни.
Тук ще отворим една скоба. Както и в случая със съгласието на България за подписването на изключително спорното Всеобхватно икономическо и търговско споразумение между Канада и ЕС (СЕТА), тук отново се прибягва до ваденето на визовия проблем като примамка. Нашите управляващи поставят себе си в положението на индианци, които се радват на подхвърлени им мъниста. Защото визов проблем със САЩ и Канада не би трябвало да съществува, ако се спазваха съществуващите регламенти. В конкретния случай Регламент №1289/2013 на ЕС, с който съюзът се ангажира да осигури безвизово пътуване за гражданите си (в това число българските и румънските) към държави, с които има сключени споразумения (в т.ч. САЩ и Канада). В случай на отказ ЕС трябва да приложи според собствените си правила реципрочни мерки – нещо, което Брюксел се разсейва да припомни на Вашингтон и Отава, а те пък продължават да се ослушват. Тоест България не е длъжна да прави нищо повече, за да могат нейните граждани да пътуват безвизово към двете най-големи страни отвъд океана. Независимо от това подписаното от Бъчварова споразумение беше представено като необходима стъпка именно в тази посока.
Всичо това се случва на фона на разгорещени дебати в Европа относно защитата на личната информация на гражданите от държавен и корпоративен произвол и след като върховният съд на ЕС отмени като незаконно споразумението за обмен на данни между евросъюза и САЩ. Проблемът е много сериозен и не е от вчера.
През октомври 2015 г. съдът постанови, че действащото споразумение за защитата на личните данни на европейците, обработвани в САЩ, не дава достатъчно гаранции срещу масовото наблюдение на комуникациите от американските власти и прекрати договореностите за пренос на даннии. Наред с личните такива става въпрос и за събиране, обработване, съхраняване и продаване на рекламодатели на данни, които всеки човек генерира в интернет – думите, които търси; страниците, които посещава; материалите, които харесва. Тези данни са ценни за големите компании, тъй като дават информация за потребителското поведение на хората и се прехвърлят с комерсиална цел между сървъри в ЕС и САЩ за целите на мултинационалните корпорации. За преодоляването на различията в политиката за защита на личните данни между ЕС (където тези права са приоритет и са залегнали в член 8 на Европейската харта за основните свободи) и САЩ (където няма детайлна регулация) Европа и Америка сключиха през 2000 г. споразумението „Сигурен пристан” (Safe Harbour), което трябваше да предостави гаранции за защитата на данните на европейците. Ключов момент в него обаче е, че регистрацията на американските компании е доброволна и това споразузмение е в сила само за тези от тях, които по своя воля са го подписали. А дали и те самите продължават да го спазват, е друг сериозен въпрос.
Делото се появи в Европейския съд, след като през 2013 г. Едуард Сноудън изнесе данни, че американските служби за сигурност са събирали и обработвали масиви от комуникационни данни и са ги вземали директно от базите на големи американски корпорации. Това постави под въпрос сигурността на данните на европейски потребители, които се съхраняват в САЩ. Тогава студентът по право във Виенския университет Максимилиян Шремс в качеството си на потребител на социалната мрежа Facebook подаде жалба срещу действията на Агенцията за национална сигурност (АНС) на САЩ до органите за защита на личните данни в Република Ирландия, където е регистриран европейският офис на американската компания. Местната служба отхвърли исканията му, но студентът се обърна към Върховния съд в страната, който от своя страна потърси становището на Съда на ЕС. Така „Сигурен пристан” бе обявен за невалиден, а съдът постанови, че националните регулатори за защита на личните данни в страните членки имат пълната власт да проучват дали спорният трансфер на данни отговаря на законите им.
Българската Комисия за защита на личните данни вече беше започнала да ограничава прилагането на „Сигурен пристан". В няколко случая тя отказа да го приложи, тъй като споразумението не гарантира в достатъчна степен защита на личните данни по цялата територия на САЩ, а само по отношение на определен брой частни компании, самосертифицирали се по него. След решението на Съда на ЕС това ограничение вече е нормативно задължително и всяко прехвърляне на данни от ЕС към САЩ по тази схема е незаконно и крие висок риск от налагане на санкции.
В резултат на 12 юли 2016 г. Европейската комисия прие нов механизъм – „Щит за личните данни в отношенията между ЕС и САЩ”. Още в хода на обсъждането му европейските национални служби изказаха сериозни резерви, защото американските служби за сигурност отново не са предоставили достатъчно гаранции, включително възможности за съдебна защита, срещу масово и безразборно събиране на лични данни на граждани на ЕС. Споразумението е под наблюдение от Европейския парламент, който има право да поиска от Комисията да ревизира или да оттегли решението си.
Най-рисковият момент в законодателната уредба на САЩ е наличието на саморегулиращи се схеми в индустрията, което по стандартите на ЕС не е адекватно и превръща личните данни в потенциална стока за продан. И според Директивата на ЕС, и по българския закон всеки има право да знае кой събира лични данни за него, защо ги събира, на кого ще ги предоставя и какво е основанието за всичко това. Лични данни са всяка информация за физическо лице, чрез която то може да бъде идентифицирано. Пръстовите отпечатъци и ДНК профилите на хората съставляват най-важната лична идентификационна информация, която не се променя през целия живот на човека.
Европейският парламент вече се бе занимавал с тези проблеми, след като на 12 март 2014 г. прие Резолюция по повод програмата за наблюдение на АНС на САЩ. Документът започва с това, че разкритията на Сноудън след юни 2013 г. пораждат многобройни опасения за мащаба на системите за наблюдение в САЩ и в държави – членки на ЕС; за нарушаването на правните стандарти, основните права на гражданите и степента на доверие между трансатлантическите партньори; за участието на някои държави – членки на ЕС, в програмите на САЩ за наблюдение или в еквивалентни програми на национално равнище; за липсата на контрол и ефективен надзор от политическите органи на САЩ и на някои европейски страни върху техните разузнавателни служби; за възможността тези операции по масово наблюдение да се използват по причини, различни от националната сигурност и борбата с тероризма (например за икономически и промишлен шпионаж или профилиране на политически основания, накърняване на свободата на пресата и на съобщенията на хора с професии с право на поверителност, включително адвокати и лекари); за все по-неясните граници между правоприлагане и разузнаване, което води до третирането на всеки гражданин като заподозряно лице и подлагането му на наблюдение; за заплахите за неприкосновеността на личния живот в цифровата ера. Европарламентът окачестви като безпрецедентни мащабите на разкрития шпионаж на САЩ срещу държави – членки на ЕС, и заяви, че се налага пълно разследване от страна на американските органи, на европейските институции и на правителствата, националните парламенти и съдебните органи на държавите членки. „Органите на САЩ отричат някои от разкритите сведения, но не оспорват огромна част от тях, за сметка на това обаче правителствата и парламентите на държавите от ЕС твърде често запазват мълчание и не започват адекватни разследвания”, се казва в Резолюцията.
В нея с доста остър тон се припомня, че в своите първи два доклада за прилагането на принципите на неприкосновеност на личния живот от 2002 и 2004 г. Еврокомисията е установила немалък брой недостатъци на прилагането на тези принципи и е направила редица препоръки към органите на САЩ те да бъдат отстранени. В третия си доклад от 2013 г. – девет години след втория, нито един от недостатъците не е бил отстранен, а към този момент ЕК е установила и допълнителни широкообхватни слабости и недостатъци в защитата на принципите за гарантиране на неприкосновеност на личния живот.
От 28 до 31 октомври 2013 г. делегация на Комисията по граждански свободи, правосъдие и вътрешни работи на Европарламента (комисия LIBE) се е срещнала във Вашингтон с представители на Департамента по търговия на САЩ и на Федералната комисия по търговия. Американското търговско ведомство е признало, че организации, самосертифицирали се като придържащи се към принципите на неприкосновеност на личния живот, не изпълняват тези изисквания, но въпреки това продължават да получават лични данни на граждани от ЕС. Според разкритията на комисията LIBE националните агенции за сигурност на Нова Зеландия, Австралия и Канада са участвали в широкомащабно масово наблюдение на електронни комуникации и са съдействали активно на САЩ в рамките на т.нар. програма „Пет Очи” и е възможно да са обменили помежду си лични данни на граждани на ЕС, което също сериозно накърнява доверието в правните системи на тези държави.
Европейският парламент е сериозно обезпокоен и от разкритията, че АНС на САЩ има пряк достъп до съобщения за финансови плащания и свързани с тях данни по споразуменията ППФТ и PNR за резервационните данни на пътниците в самолетите, което е явно нарушение на тези споразумения.
„Дейностите по масово наблюдение предоставят на разузнавателните агенции на САЩ достъп до лични данни, придобити от сървъри на територията на ЕС чрез проникване във вътрешните мрежи на интернет порталите и търсачките Yahoo и Google, което е нарушение на европейските стандарти за основни права, включително правото на личен и семеен живот, поверителността на комуникациите, презумпцията за невинност, свободата на изразяване, свободата на информация, свободата на събранията, на сдружаване и свободата на стопанска инициатива“ - повтаря Резолюцията на ЕП и сочи, че „американските разузнавателни агенции следват политика на системни подривни действия спрямо криптографски протоколи и продукти с цел да бъдат в състояние да прихващат дори криптирана комуникация”.
Eвропарламентът констатира следното:
-Предоставени са убедителни доказателства за съществуването на широкообхватни, сложни и изключително напреднали в технологично отношение системи, проектирани от разузнавателните служби на САЩ и на някои държави членки, за да събират, съхраняват и анализират комуникационни данни, включително данни за съдържание, местонахождение и метаданни на всички граждани по света в безпрецедентен мащаб и по безразборен начин, който не е свързан с конкретни подозрения.
- Разузнавателните програми на американската АНС позволяват масово наблюдение на граждани на ЕС чрез пряк достъп до централни сървъри от водещи интернет компании от САЩ (програма „Призма”), анализ на съдържание и метаданни (програма „Екскискор”), заобикаляне на онлайн криптиране („Булрън”), достъп до компютърни и телефонни мрежи и до данни за местонахождение. Американските служби използват и системите на разузнавателната агенция GCHQ на Великобритания за наблюдение на потоци от данни, за декриптиране и за събиране и съхраняване на 200 милиона текстови съобщения дневно.
- Налице е незаконно проникване или подслушване на системите на телекомуникационната компания „Белгаком” от разузнавателната агенция GCHQ, а „Белгаком” мълчи дали институциите на ЕС са били сред целите или дали са били засегнати. Използваният софтуер за проникване е бил изключително сложен и за неговото разработване и използване е било необходимо ангажирането на големи финансови ресурси и персонал, с каквито частни субекти или хакери не разполагат.
- Дълбоко е разклатено доверието между двата трансатлантически партньора, доверието между гражданите и техните правителства, доверието във функционирането на демократичните институции от двете страни на Атлантика и в спазването на принципите на правовата държава в сферата на сигурността и на ИТ услугите и комуникациите.
- Събирането на данни в такъв мащаб оставя значителни съмнения дали тези действия се ръководят от съображения за борба с тероризма, или имат и други цели, включително политически и икономически шпионаж.
Европарламентът отбелязва, че някои държави членки провеждат двустранна комуникация с органите на САЩ по обвинения в шпионаж. Подчертава се, че те трябва да спазват напълно интересите и правната рамка на ЕС. ЕП определя подобни двустранни споразумения като непродуктивни и неадекватни, тъй като за този проблем е необходим подход на европейско равнище. Призовава се тези споразумения да не нарушават договорите на съюза, да не подкопават политиките на ЕС като цяло и по-конкретно тези на вътрешния пазар, лоялната конкуренция и икономическото, промишленото и социалното развитие. Препоръчва се държавите членки да спрат потоците от данни към трети държави въз основа на договорни клаузи или задължителни фирмени правила, одобрени от националните компетентни органи, когато продължаването на предаването на данни би създало непосредствен риск от тежка вреда за хората – техни субекти.
В друга резолюция на Европейския парламент от 4 юли 2013 г. се подчертава, че придържането към принципите на защита на личните данни продължава да е под въпрос след разкритията от юни същата година, че чрез програми като „Призма” органите на САЩ получават широкомащабен достъп до личните данни на граждани на ЕС, използващи доставчици на онлайн услуги от САЩ, и ги обработват. Европейските институции, посолствата и представителствата на ЕС и на държавите членки са били обект на дейности по наблюдение и шпиониране от страна на САЩ. Констатира се, че такива предположения има и за органите на няколко държави – членки на ЕС, които са сътрудничили с „Призма” и други подобни програми или са получили достъп до създадените бази данни, както и че няколко държави членки имат програми за наблюдение, сходни на „Призма”, или обсъждат въвеждането на такива.
На фона на острите и категорични констатации и разпоредби на Европарламента действията на Европейската комисия са коренно различни. ЕК подготвя споразумение след споразумение за прехвърляне на все повече и по-широк кръг данни към службите на САЩ и на практика не изпълнява разпоредбите на тези две резолюции. Ние също не правим изключение. ЕС и страните членки нямат закони за борба с тероризма, но у нас вече ударно се приема такъв доста спорен закон, който сериозно ограничава гражданските права. При съществуващата нормативна база в САЩ споразумението, подписано от министър Бъчварова за обмен на отпечатъци и ДНК профили, нарушава защитата на личните данни и сигурността на българските граждани, тъй като липсват всякакви гаранции за съдебна защита. Явно и в тази област България тича пред вятъра.