039/27.11.2007

от СЕК, свободната енциклопедия

Изх. № 39/27.11.2007 г.

                                            До
                                            г-н Пламен Вачков 
                                            Председател
                                            Държавна агенция за информационни технологии и  
                                            съобщения
                                            София, ул. „Гурко” 6   

Относно: Обществено обсъждане на проект на Наредба за категориите данни и за редa, по който се съхраняват и предоставят от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, за нуждите на националната сигурност, както и за разкриване на престъпления

Уважаеми г-н Вачков,

Във връзка с процедура по обществено обсъждане на проект на Наредба за категориите данни и за редa, по който се съхраняват и предоставят от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, за нуждите на националната сигурност, както и за разкриване на престъпления (Проекта, Наредбата), представяме становището на Сдружението за електронни комуникации, както следва:

1. Предлагаме чл. 1 да придобие следния вид:

„Чл. 1. (1) Тази наредба определя:

1. категориите данни, които са създадени или обработвани от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги в процеса на предоставяне на тези услуги, и които се съхраняват и предоставят за нуждите на националната сигурност и за разкриване на престъпления; 2. реда за съхранение на данните по т. 1; 3. правилата за защитата и сигурността на данните по т. 1; 4. реда за достъп и предоставяне на данните по т. 1; 5. реда за предоставяне на статистически данни по т. 1. (2) Данни, разкриващи съдържанието на съобщенията, включително информация станала достъпна посредством използването на електронна съобщителна мрежа, не могат да бъдат съхранявани по реда, определен в тази наредба.”

Предложението за изменение на ал. 1 е в съответствие с чл. 3, ал. 1 от Директива 2006/24/ЕО на Европейския парламент и Съвета от 15.03.2006 г. за съхраняването на данни, генерирани или обработени във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или обществени съобщителни мрежи и изменяща Директива 2002/58/ЕО (Директива 2006/24/ЕО). Необходимо е в наредбата изрично да се упомене, че тя се отнася само за данни, който са създадени и обработени от самите предприятие. Използваният в чл. 3, ал. 1 от Директива 2006/24/ЕО термин „jurisdiction” цели да поясни, че задълженията за съхраняване и предоставяне на данни от страна на предприятията се отнасят само за такива данни, който те самите са създали или обработили, но не и такива до които са имали достъп, например. В този смисъл целта на директивата е предприятията да нямат задължения да проявяват про-активно поведение и сами да търсят данни за съхранение. По скоро целта е предприятията да съхраняват и предоставят само данни, които самите те така или иначе създават или обработват за целите на предоставяните от тях мрежи и/или услуги.

Предложението за изменение на ал. 2 е в съответствие с чл. 1, ал. 2 от Директива 2006/24/ЕО, която допълнително ограничава приложението на задълженията на предприятията, осъществяващи електронни съобщения да съхраняват и предоставят данни.

С новия текст се визират случаите, когато потребител на услугата достъп до интернет зареди („отвори”) конкретна интернет страница за да я разглежда или съхрани (‘”свали”) на своя компютър общодостъпен файл съдържащ информация адресирана до неограничен кръг от лица. Считаме, че без предложеното ограничение има съществен риск от нарушаване не само на тайната на кореспонденцията но и на конституционно установеното право на всеки гражданин да търси, разпространява и получава информация (чл. 41 от Конституцията на Република България).

2. Предлагаме в чл. 3 да бъдат направени следните терминологични промени: „Чл. 3. Категориите данни, подлежащи на запазване и предоставяне от предприятията, предоставящи обществени електронни мрежи и/или услуги, са: 1. данни, необходими за проследяване и идентифициране на източника на съобщението: а) при фиксирана телефонна услуга и мобилна телефонна услуга: телефонният номер на викащия абонат и име и адрес на абоната или регистрирания потребител; б) при интернет достъп, електронна поща по интернет и интернет телефония: идентификатор, определен за потребителя; идентификатор на потребителя и телефонен номер, определени за всяко съобщение, влизащо в обществената телефонна мрежа; име и адрес на абоната или регистрирания потребител, за който са определени IP адрес, идентификатор на потребителя или телефонен номер в момента на връзката; 2. данни, необходими за идентифициране местоназначението на съобщението: а) при фиксирана телефонна и мобилна телефонна: набран номер (викан телефонен номер) и, в случаите на допълнителни услуги, като пренасочване или прехвърляне на повикването, номер или номера, към които е маршрутизирано повикването; име и адрес на абоната или регистрирания потребител; б) при електронна поща по интернет и интернет телефония: идентификатор на потребителя или телефонен номер на получателя(ите) на интернет телефонно повикване; име и адрес на абоната или регистрирания потребител и идентификатор на получателя, за когото е предназначено съобщението; 3. данни, необходими за идентифициране на датата, часа и продължителността на съобщението: а) при фиксирана телефония и мобилна телефония: дата и час на началото и края на съобщението; б) при интернет достъп: дата и час на регистриране и излизане в/от услугата интернет достъп, основаващи се на определена часова зона, заедно с IP адреса, динамичен или статичен, определен за връзката от доставчика на услугата интернет достъп, и идентификатора на абоната или регистрирания потребител; в) при електронна поща по интернет и интернет телефония дата и час на влизане и излизане в/от услугата електронна поща по интернет или интернет телефония, основаващи се на определена часова зона; 4. данни, необходими за идентифициране на вида съобщение: а) при фиксирана телефония и мобилна телефония: използваната телефонна услуга; б) при електронна поща по интернет и интернет телефония: използвана интернет услуга; 5. данни, необходими за идентифициране на крайното електронно съобщително устройство на потребителя или на това, което се представя за негово крайно устройство: а) при фиксирана телефонния: викащ и викан телефонен номер; б) при мобилна телефония: викащ и викан телефонен номер; международен идентификатор на викащия мобилен абонат (IMSI); международен идентификатор на викания мобилен абонат (IMSI); международен идентификатор на викащото мобилно крайно електронно съобщително устройство (IMEI); международен идентификатор на виканото мобилно крайно електронно съобщително устройство (IMEI); в случай на предплатени анонимни услуги - дата и час на началното активиране на услугата и етикет за местоположение (идентификатор на клетката), от което е активирана услугата; в) при интернет достъп, електронна поща по интернет и интернет телефония: викащия телефонен номер за комутируем достъп; цифрова абонатна линия (DSL) или друга крайна точка на инициатора на съобщението; 6. данни, необходими за идентифициране на местоположението на мобилно електронно съобщително оборудване: а) етикет на местоположението (идентификатор на клетката) в началото на съобщението; б) данни, идентифициращи географското местоположение на клетките чрез препратка към техните етикети на местоположението (идентификатори на клетката) по време на периода, за който се пазят данните за съобщението.”

Терминът „връзка” е неясен. Използваният в чл. 5 от Директива 2006/24/ЕО термин е „communication”. Неговата легална дефиниция по същество се съдържа в чл. 1, ал. 2 от Закона за електронните съобщения, където понятието има достатъчно широк обхват и ясно съдържание. Термините „фиксирана услуга” и „мобилна услуга” са твърде широки и могат да се тълкуват твърде противоречиво. По своята същност те могат да включват и услугите „комутируем достъп до интернет”; „wi-fi достъп до интернет”, WiMAX услуги и други. Именно с цел избягване на противоречия и неясноти чл. 5 от Директива 2006/24/ЕО използва терминът „телефония” (“telephony”). Нещо повече, видовете данни, които трябва да се съхраняват по реда на разпоредбите съдържащи термините „фиксирана услуга” и „мобилна услуга” на практика се отнасят към телефонни услуги и следователно би следвало това изрично да бъде описано.

Използвания в чл. 3, т. 1, „а”; т. 2, „а” от Проекта термин „данни за абоната или регистрирания потребител” противоречи на изискването на чл. 5 от Директива 2006/24/ЕО да се съхраняват и предоставят само името и адреса на съответния абонат.. Съхраняването и предоставянето на всякакви други данни, като например: ЕГН; място и дата на раждане и др. излизат извън стриктно и изчерпателно уредените задължения на предприятията доставчици на електронни съобщителни мрежи и/или услуги.

Всички останали изменения в чл. 3 от Проекта имат по скоро редакционен характер и целят по-добра прецизност на изказа.

3. Предлагаме от чл. 4, т. 4 от Проекта да отпаднат думите: „с изключение на онези, които са били предоставени на компетентните органи и са били запазени от тях”. Обективно невъзможно е предприятията доставчици на електронни съобщителни мрежи и/или услуги да знаят кои данни са съхранени от съответния държавен орган и сама по себе си тази разпоредба е един правен non-sense.

Идеята на чл. 7, б. д) на Директива 2006/24/ЕО е да изключи от кръга на данните, които следва да бъдат унищожени, онези, които вече са били изискани и запазени от компетентните органи. Доколкото, обаче, адресати на задълженията по чл. 4, т. 4 на Проекта са единствено предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, очевидно е, че те не могат да изтрият данните, които вече са предадени и се съхраняват от изискалите ги органи. Ето защо с отпадане на думите: „с изключение на онези, които са били предоставени на компетентните органи и са били запазени от тях” няма да се измени смисълът на чл. 4, т. 4 от Проекта, а единствено ще се постигне по-голяма яснота и точност във формулировката на задължението.

4. Считаме, че чл. 5 от Проекта трябва да бъде изцяло преработен като придобие следния вид: „Чл. 5. (1) За нуждите на наказателния процес предприятията, предоставящи обществени електронни мрежи и/или услуги, предават съхраняваните данни след получаване на писмено искане от съда или органите на досъдебното производство. (2) В случай на необходимост, свързана с националната сигурност, предприятията, предоставящи електронни съобщителни мрежи и/или услуги, предават съхраняваните данни след получаване на писмено искане от органите на службите за сигурност, по смисъла на пар. 1, т. 1 от Допълнителните разпоредби на Закона за защита на квалифицираната информация. (3) Искането по ал. 1 и ал. 2 трябва да съдържа

1. Идентификационни данни на органа, изискващ данните; 2. Идентификационните данни на предприятието, предоставящо обществени електронни съобщителни мрежи и/или услуги, от което се изискват данните; 3. Конкретно и точно описание на изискваните данни и категорията или категориите, в които те попадат съгласно чл. 3; 4. Конкретен период по време, през който са събрани изискваните данни; 5. Адрес, съответно факс номер, електронен адрес и др., на които трябва да бъдат предоставени данните; 6. Адрес, съответно факс номер или електронен адрес и име на длъжностните лица, на които трябва да бъдат предоставени данните, ако са различни от органа, изискващ данните; 7. Номера на делото, за което се отнасят данните, в случаите, когато те се изискват с цел разкриване или разследване на престъпление. 8. Дата, подпис и печат на органа, изискващ данните. (4) Данните се съхраняват по начин, който гарантира бързото им предаване на компетентните органи при поискване от тяхна страна.”

Считаме, че настоящата редакция на чл. 5 от проекта изцяло противоречи на Директива 2006/24/ЕО, но и на Конституцията на Република България, ЗЕС, Закона за защита на личните данни (ЗЗЛД), Закона за Министерство на вътрешните работи (ЗМВР), Наказателно-процесуалния кодекс (НПК) и не на последно място на чл. 8 от Европейската харта за правата на човека (ЕХПЧ).

В чл. 5 от проекта липсва ясна и прозрачна процедура, по която да се изискват и предоставят данни на конкретно оправомощени органи. Задължението за предоставяне на „пасивен технически достъп чрез компютърен терминал” за нуждите на дирекция „Оперативно-техническа информация” е противоречи на принципите на демократическата държава. Това на практика предоставя на Дирекция „Оперативно-техническа информация” постоянен, неограничен достъп до абсолютно всички, съхранени от предприятията данни по чл. 3. Налице е излизане извън пределите на чл. 251, ал. 2 от ЗЕС, който определя, че данните се съхраняват и предоставят. Терминът предоставят е предполага изрично искане от страна на органите, а не осигуряването на перманентен неограничен достъп. Изправени сме пред смесването на два института, предвидени в Закона за електронните съобщения: съхраняване на данни (data retention), предвидено в чл. 251 от ЗЕС, и прихващане на електронни съобщения (legal interception), предвидено в чл. 304 и сл. от ЗЕС. Именно във втория случай законът предвижда възможност за достъп в реално време на органите на МВР до данни, свързани с дадено повикване, и то единствено при спазване на изискванията на Закона за специалните разузнавателни средства. Подобна възможност за пасивен постоянен достъп до съхранените по реда на наредбата данни не е предвидена в ЗЕС.

Чл. 5, ал. 1 от Проекта е в противоречие с изискванията чл. 4 на Директива 2006/24/ЕО, която предвижда, че данните следва да се „предоставят само на компетентните органи, за конкретни случаи …”. Предоставянето на пасивен технически достъп до съхраняваните от предприятията данни означава, че органите на МВР ще имат достъп до всички данни, а не само до тези необходими при „конкретен случай”. Такава намеса в личния живот на гражданите е несъвместима с демократичните принципи на правовата държава и гражданското общество, особено, когато не е предвидено никакво нормативно ограничение за осъществяване на този достъп. Нещо повече, както ЗЕС така и Директива 2006/24/ЕО предвиждат, че данните се предоставят само с цел разкриване на престъпления и за нуждите на националната сигурност. Доколкото при осъществяване на своята дейност Дирекция „Оперативно-техническа информация” се занимава и с други задачи освен тези пряко свързани с разкриването на престъпления и националната сигурност, в такива случаи тя няма право да получава данните-предмет на наредбата.

Подобна възможност противоречи и на конституционно закрепените основни човешки права за неприкосновеност на личността и на кореспонденцията. Именно с цел преграждане на възможността за такава неправомерна намеса на държавата в личния живот на гражданите чл. 8 от ЕХПЧ предвижда, че намесата на държавните органи в личните права на гражданите трябва да отговаря на изискванията за необходимост и пропорционалност и следователно трябва да служи на конкретни, изрични и законоустановени цели и да бъде осъществявана по адекватен, относим и не прекомерен с оглед целта на намесата начин.

Към настоящия момент липсва ясна процедура, за реда, по който съответните органи могат да изискват съхранените от предприятията данни. Считаме, че подобен пропуск ще затрудни практическото прилагане на наредбата, както от страна на компетентните органи, така и от страна на предприятията. Липсата на яснота би благоприятствала евентуална злоупотреба с право от страна на отделни служители на съответните органи, който могат неправомерно да изискват съответната информация.

Считаме, че въвеждането на задължителни реквизити, които всяко искане следва да съдържа ще улесни и преди всичко ще ускори процедурата по предоставянето на данните, защото ще съдържа точна информация за изискващия и получаващия данните орган и ясно ще определя предмета на искането.

5. Предлагаме Раздел IV от наредбата да отпадне поради следните причини: Считаме, че задължението на предприятията да информират Министъра на вътрешните работи за информацията, която са предоставили на съда или прокуратурата противоречи на принципа на разделение трите власти (законодателна, изпълнителна и съдебна). Чл. 251, ал. 2 на ЗЕС ясно очертава кръга въпроси, които могат да бъдат регламентирани с наредбата.. Редът за предоставяне на статистически данни не е сред този кръг въпроси и уреждането му би било извършено при липса на материална компетентност от страна на издаващите нормативния административен акт органи. Липсата на материална компетентност от своя страна ще доведе до нищожност на съответните разпоредби на наредбата.

В случай, че гореописаното предложение не бъде прието и Раздел IV остане в наредбата предлагаме ал. 1 на чл. 6 от Проекта да бъде изменена както следва: „Чл. 6. (1) Предприятията, предоставящи обществени електронни мрежи и/или услуги ежегодно до 31 март предоставят на министъра на вътрешните работи информация за предходната календарна година за:”

Следва да се въведе яснота за периода, до който се отнася предоставяната информация. Обратното би означавало всяка година да бъде предоставяна информация за всички предходни години. Считаме, че подобно изискване е ненужно и само би затруднило предприятията и министъра.

6. Предлагаме номерацията на § 1 от Допълнителните разпоредби да бъде коригирана, защото в проекта след т. 1 следва т. 3.

7. Предлагаме разпоредбата на § 1. т. 3 да бъде изменена по следния начин. „3. „Фиксирана и мобилна услуга” е повиквания (включително гласови повиквания, повиквания до гласова поща, повиквания за конферентни разговори и повиквания свързани с данни), допълнителни услуги (включително пренасочване и прехвърляне на повикване) и услуги за изпращане на съобщения и мултимедийни услуги (включително „услугата кратки съобщения” (SMS), разширени медийни услуги и мултимедийни услуги).”

Разпоредбата цели да коригира неточностите в превода на разпоредбата на чл. 2, (с) от Директива 2006/24/ЕО и да уеднакви терминологията използвана в текста с действително използваната в общественото пространство и с тази на ЗЕС (например в чл. 257, ал. 6 на ЗЕС се говори именно за пренасочени повиквания)

8. Предлагаме т.6 от § 1. от Допълнителните разпоредби на Проекта да придобие следния вид: „6. „Неуспешен опит за повикване” е съобщение, при което телефонното повикване е успешно свързано, но на него не е било отговорено или е имало управленска намеса е мрежата.”

Предложението има редакционен характер и цели унифициране на терминологията в наредбата. Мотивите са измененията са същите като тези описани в т. 2 от настоящето становище.

9. Предлагаме разпоредбата на т.7 от § 1. от Допълнителните разпоредби на Проекта да отпадне.

На първо място, следва да се отбележи, че терминът „Данни необходими за идентифициране на абонат и/или потребител” не се среща никъде другаде в Проекта. В тази връзка самоцелното въвеждане на подобен термин е излишно и по скоро усложнява наредбата отколкото да има някакво съществено приложение.

На второ място, данните предмет на наредбата, които са създадени или обработвани от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги в процеса на предоставяне на тези услуги и които следва да бъдат предоставяни за нуждите на националната сигурност и за разкриване на престъпления и са подробно и изчерпателно изброени в чл. 3 от Наредбата и в чл. 5 от Директива 2006/24/ЕО. Всяко разширяване на кръга от тези данни би противоречало на Директива 2006/24/ЕО и наложило необосновано тежко бреме за предприятията, които ще трябва да направят съществени допълнителни инвестиции, за да съхранят допълнителните данни.

Освен това разпоредбата не предвижда кои са данните идентифициращи абонатите юридическите лица.

10. Предлагаме § 3. от Преходните и заключителни разпоредби на Проекта да се измени по следния начин: „§ 3. Тази наредба влиза в сила 6 месеца след обнародването й в „Държавен вестник”, с изключение на разпоредбите на чл. 3, т. 1, буква „б”, т. 2, буква „б”, т. 3, букви „б” и „в”, т. 4, буква „б” и т. 5, буква „в”, които влизат в сила от 15 март 2009 г.”

Считаме, че доколкото с разглежданата наредба се налага задължение за предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, да съхраняват определени категории данни за срок от 12 месеца, на тях трябва да се предостави и разумен срок, в който да осигурят техническата обезпеченост за изпълнение на това задължение. След обнародване на наредбата в „Държавен вестник” предприятията ще следва да поръчат, закупят и въведат в експлоатация необходимото оборудване, за което ще им е нужен период от време от най-малко 6 месеца.

Предложението за добавяне на б. „в” в чл. 3, т. 3 е във връзка с промяната на чл. 3 от Наредбата описани в т. 2 от настоящето становище.

11. Във връзка с разпоредбата на чл. 32, ал. 2, т. 4, буква „а” от Указ № 883 за прилагане на Закона за нормативните актове следва да се посочи кои актове на европейския съюз се имплементират в българското законодателство с наредбата:. „§ 4. Тази наредба въвежда в българското законодателство нормите на Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/ЕС”

Като се надяваме направени предложения да бъдат взети предвид от ДАИТС, оставаме

С уважение:

Теодор Захов Председател на УС Сдружение за електронни комуникации (СЕК)

София 1000, бул. “Патриарх Евтимий” 36, вх. Б, ап. 13 тел. (+359 2) 9887360, 9887361 факс: (+359 2) 9877096 лице за контакт: Пламена Николаева (Секретар на СЕК) e-mail: plamena.nikolaeva@dpc.bg; info@bgsec.org