Álit 29. gr. starfshópsins um eftirlit leyniþjónustustofnana
29. gr. starfshópurinn starfar á grundvelli 29. gr. persónuverndartilskipunarinnar nr. 95/46/EB og er ráðgefandi fyrir stofnanir ESB um persónuverndarmálefni, auk þess sem hann vinnur að samræmdri túlkun tilskipunarinnar í aðildarríkjum. Hann er skipaður fulltrúum persónuverndarstofnana í aðildarríkjum ESB, en auk þess hafa persónuverndarstofnanir EFTA-ríkja áheyrnaraðild.
Í áliti hópsins sem gefið var út þann 10. apríl sl. (sjá hér) er fjallað um eftirlit leyniþjónustustofnana. Í álitinu vísar 29. gr. starfshópurinn til uppljóstrana Edwards Snowden og lýsir því meðal annars yfir að leynilegt, viðamikið og tilviljunarkennt eftirlit (e. secret, massive and indiscriminate surveillance) samrýmist ekki grundvallarlagareglum og verði ekki réttlætt með vísan til baráttu gegn hryðjuverkum og öðrum alvarlegum ógnum við þjóðaröryggi. Skerðingar á grunnréttindum borgaranna komi því aðeins til greina að brýn nauðsyn krefjist þeirra í lýðræðisþjóðfélagi og að meðalhófs sé gætt. Kemur fram að starfshópurinn hyggst halda ráðstefnu á síðari hluta þessa árs þar sem fjallað verði um eftirlit með borgurunum. Þá er í álitinu kallað eftir auknu gagnsæi um hvernig leyniþjónustustofnanir starfa og lögð áhersla á að í aðildarríkjum mannréttindasáttmála Evrópu sé viðhaft virkt eftirlit sjálfstæðra aðila með starfsemi þeirra. Auk þess kemur fram af hálfu starfshópsins að Evrópureglur um vernd persónuupplýsinga heimili ekki víðtæka miðlun persónuupplýsinga til nota við slíkt eftirlit sem hér um ræðir. Lögð er á það áhersla að tillögur að nýrri persónuverndarlöggjöf ESB (sem meðal snýr að vinnslu vegna löggæslu, þjóðaröryggis og skyldra þarfa) öðlist gildi og að sem fyrst hefjist viðræður um alþjóðasamning um vernd persónuupplýsinga (sjá bls. 2-3).
Meðal annars þess sem fram kemur í álitinu er að söfnun upplýsinga um fjarskiptatengingar (e. metadata) geti falið í sér mikla íhlutun í réttinn til friðhelgi einkalífs, en oft megi skilja yfirvöld svo að söfnun fyrrnefndu upplýsinganna sé ekki jafnnærgöngul og þeirra síðarnefndu. Í því sambandi er í álitinu bent á að oft sé auðveldara að afla sér vitneskju um málefni einstaklinga með vinnslu á fyrrnefndu upplýsingunum, enda sé einfaldara að kerfisbinda þær heldur en innihaldsupplýsingar og um leið nýta þær til að greina sambönd, hegðun og venjur einstaklinga. Einnig er meðal annars bent á að tengiupplýsingar geti falið í sér viðkvæmar persónuupplýsingar, s.s. þegar einstaklingur hefur hringt í heilbrigðis- eða trúarstofnun. Þá er minnt á nýlegan dóm Evrópudómstólsins, þess efnis að tilskipun 2006/24/EB um varðveislu umferðargagna hjá fjarskiptafyrirtækjum samrýmist ekki réttindaskrá ESB (sjá hér) (bls. 4-5).
Í framhaldi af þessu rökstyður starfshópurinn nánar það sem að framan er rakið (bls. 6-8). Þá fjallar hann um það hvernig eftirlit með leyniþjónustustarfsemi fer fram í einstökum aðildarríkjum (bls. 8-11). Því næst kemur hann á framfæri eftirfarandi ábendingum, þ.e. um:
A. Aukið gagnsæi sem birtist í því að skýrara sé gagnvart almenningi, þjóðþingum og stjórnsýslustofnunum hvernig eftirlit leyniþjónustustofnana fari fram; að fyrirtæki, sem bjóða upp á netþjónustu, upplýsi notendur eftir því sem kostur er um mögulegt eftirlit; og að notendur eigi kost á vitneskju um hvaða afleiðingar fjarskiptanotkun geti haft í för með sér og verndað upplýsingar sínar. Það sé sameiginleg ábyrgð persónuverndarstofnana, annarra opinberra stofnana og fyrirtækja að stuðla að því, en um þetta verði fjallað á fyrrgreindri ráðstefnu (bls. 12).
B. Virkara eftirlit, en fyrir liggi að leyniþjónustustofnanir í aðildarríkjum safni víðtækum persónuupplýsingum um borgarana og deili þeim sín á milli, sem og með leyniþjónustustofnunum utan ESB. Um þetta þurfi að fara eftir skýrum reglum þar sem réttindi hinna skráðu njóti verndar samhliða gæslu almannahagsmuna. Þá þurfi að fara fram virkt innra eftirlit með því hvort farið sé að lögum og reglum, auk þess sem eftirlit þjóðþinga sé virkt, sem og utanaðkomandi stjórnvaldseftirlit, en það geti annaðhvort verið á hendi sérstakra stofnana með aðkomu persónuverndarstofnana eða á hendi persónuverndarstofnananna sjálfra (bls. 13).
C. Að farið sé að gildandi reglum, bæði grunnreglum mannréttindasáttmálans sem öll aðildarríki séu aðilar að, sem og reglum Evrópuréttar (bls. 13-14).
D. Að drög að nýrri Evrópulöggjöf um vernd persónuupplýsinga, þ.e. bæði að almennri persónuverndarreglugerð og tilskipun um vernd persónuupplýsinga á sviði löggæslu, þjóðaröryggis og þess háttar, öðlist gildi, sem og að afmarkað verði betur hvað átt sé átt við með þjóðaröryggi. Í því sambandi vísar starfshópurinn til þess að persónuupplýsingar falla ekki undir sömu reglur og almennt er þegar unnið er með persónuupplýsingar í þágu þjóðaröryggis. Auk þess veltir hann upp þeirri spurningu að hvaða marki undanþágur í þágu þjóðaröryggis séu enn raunhæfar, m.a. annars þar sem óljóst geti verið hvaða land eigi í hlut þegar þjóðaröryggi er annars vegar. Þá leggur hann áherslu á að ekki eigi að veita undanþágur frá almennum reglum Evrópuréttar þegar eingöngu ræðir um þjóðaröryggi þriðju ríkja, þ.e. landa utan ESB og EES (bls. 14-15).
E. Að veita þurfi upplýsingum um íbúa aðildarríkja alþjóðlega vernd. Í því sambandi kemur meðal annars fram af hálfu starfshópsins að leynilegir samningar aðildarríkja og þriðju ríkja geti ekki talist fullnægjandi lagagrundvöllur fyrir skerðingu á friðhelgi einkalífs samkvæmt mannréttindasáttmála Evrópu. Þá leggur starfshópurinn áherslu á að gerður verði alþjóðasamningur um vernd persónuupplýsinga sem unnið er með í þágu þjóðaröryggis, en meðal annars er tekið fram að hann megi ekki vera leynilegur. Að auki leggur starfshópurinn áherslu á að til verði alþjóðleg réttarheimild með almenna skírskotun um vernd persónuupplýsinga (bls. 15-16).
Frekari upplýsingar um starfshópinn og umrætt álit má nálgast hér.