EUROOPA KOMISJON
Brüssel,13.9.2017
COM(2017) 474 final
KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE
liikmesriikides direktiivi 2013/40/EL (milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK) nõuete täitmiseks võetud meetmete ulatuse hindamise kohta
Sisukord
1.1. Direktiivi eesmärk ja kohaldamisala
1.2. Aruande eesmärk ja metoodika
2.1. Õigusmõisted (direktiivi artikkel 2)
2.2. Konkreetsed kuriteod (direktiivi artiklid 3–7)
a) Ebaseaduslik sisenemine infosüsteemi
b) Ebaseaduslik süsteemi häirimine
c) Ebaseaduslik andmetesse sekkumine
d) Teabe ebaseaduslik pealtkuulamine
e) Kuriteo toimepanemisel kasutatud vahendid
2.3. Asjaomaste kuritegudega seotud üldised õigusnormid (direktiivi artiklid 8–12)
e) Juriidilise isiku suhtes kohaldatavad karistused
2.4. Operatiivküsimused (direktiivi artiklid 13–14)
a) Sätted toimivate riiklike kontaktpunktide kohta
b) Teave loodud toimivate riiklike kontaktpunktide kohta
d) Statistiliste andmete kogumine
e) Statistiliste andmete edastamine komisjonile
3. Kokkuvõte ja edasised meetmed
1. Sissejuhatus
Europoli 2016. aasta internetipõhise organiseeritud kuritegevuse põhjustatud ohtude hinnangu kohaselt muutub küberkuritegevus üha agressiivsemaks ja vaenulikumaks. See ilmneb küberkuritegevuse eri vormides, sealhulgas infosüsteemide vastu suunatud rünnetes 1 . Europoli nimetatud raskete rünnete vormid on näiteks pahavara ja sotsiaalse manipulatsiooni kasutamine, et tungida infosüsteemi ja saada selle üle kontroll või teha infopüüki ja korraldada ulatuslikke võrgu, sealhulgas elutähtsa infrastruktuuri vastu suunatud ründeid. Neid ründeid käsitatakse märkimisväärse ohuna meie ühiskonnale.
Nüüd, kui üha enam andmeid salvestatakse pilve ning teave ja kurjategijad on väga liikuvad, on enamiku küberkuritegevuse juurdluste jaoks muutunud ülioluliseks õiguskaitseasutuste vaheline piirülene koostöö.
Selleks et nende kuritegude vastu tulemuslikult võidelda, peavad liikmesriigid koos määrama kindlaks, millist tegevust tuleks käsitada infosüsteemide vastu suunatud ründena. Nad vajavad ka ühtlustatud karistustasemeid ja operatiivmeetmeid, et teatada õigusrikkumistest ja jagada teavet ametiasutuste vahel. Seega võtsid Euroopa Parlament ja nõukogu 12. augustil 2013. aastal vastu direktiivi 2013/40/EL (edaspidi „direktiiv“), milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK. 2
1.1. Direktiivi eesmärk ja kohaldamisala
Direktiivi eesmärk on ühtlustada liikmesriikide kriminaalõigust 3 infosüsteemide vastu sunnatud rünnete valdkonnas ja parandada pädevate asutuste vahelist koostööd. Selleks kehtestatakse miinimumõigusnormid, mis käsitlevad infosüsteemide vastu suunatud rünnete valdkonna kuritegude ja karistuste määratlusi, ning nõutakse, et kontaktpunktid töötaksid iga päev ööpäev läbi.
Direktiivis on esitatud järgmiste mõistete määratlused.
·Artikli 2 punktis a esitatud mõiste „infosüsteem“ 4 . See määratlus on samalaadne Euroopa Nõukogu 23. novembri 2001. aasta küberkuritegevuse konventsiooni (edaspidi „Budapesti konventsioon“) artikli 1 punktis a sätestatud mõiste „arvutisüsteem“ määratlusega selle erandiga, et direktiivi mõiste hõlmab ka otseselt arvutiandmeid.
·Artikli 2 punkti b mõiste „arvutiandmed“. Määratlus vastab Budapesti konventsiooni artikli 1 punktis b esitatud määratlusele, aga osutab arvutisüsteemi asemel infosüsteemile.
·Artikli 2 punkti c mõiste „juriidiline isik“. Määratluse eesmärk on tagada nii füüsiliste kui ka juriidiliste isikute vastutus, tehes erandi riikidele, avaliku sektori asutustele ja avalik-õiguslikele rahvusvahelistele organisatsioonidele.
·Artikli 2 punkti d mõiste „õigusliku aluseta“. Määratlus käsitleb kriminaalõiguse üldpõhimõtet ja selle eesmärk on vältida olukorda, kus kriminaalvastutusele võetakse isik, kes tegutseb liikmesriigi õigusega lubatud piirides või infosüsteemi või selle osa omaniku või muu õiguste omaja loa alusel.
Määratletakse konkreetsed kuriteod, nimelt:
·ebaseaduslik sisenemine infosüsteemi (artikkel 3);
·ebaseaduslik süsteemi häirimine (artikkel 4), sealhulgas igasugune ebaseaduslik sisenemine infosüsteemi, mille tõttu on infosüsteemi töö tõsiselt takistatud või katkestatud;
·ebaseaduslik andmetesse sekkumine (artikkel 5), mis tähendab arvutiandmete kui sellistega seotud mis tahes ebaseaduslikku sekkumist, millega kahjustatakse andmete terviklust või käideldavust;
·mitteavalikult edastatavate arvutiandmete ja neid andmeid sisaldava infosüsteemi elektromagnetkiirguse ebaseaduslik pealtkuulamine (artikkel 6);
·nimetatud kuritegude toimepanemisel kasutatavate vahendite ebaseaduslik pakkumine (artikkel 7). Selles kontekstis võivad need vahendid olla arvutiprogrammid, arvuti salasõnad või mis tahes muud andmed, mille abil on võimalik siseneda infosüsteemi.
Lisaks sellele laiendatakse direktiiviga kriminaalvastutust, et see hõlmaks eespool nimetatud kuritegudele kihutamist ja kaasaaitamist ning kuriteokatseid füüsiliste ja/või juriidiliste isikute poolt (artikkel 8). Kui kuritegudele kihutamine ja kaasaaitamine puudutavad kõiki artiklites 3–7 nimetatud kuritegusid, siis kuriteokatsed ainult artiklites 4 ja 5 nimetatud kuritegusid.
Direktiivis osutatud kuritegude eest määratavate karistuste minimaalsed maksimummäärad on sätestatud artiklis 9:
·lähtealusena on kõigi kõnealuste kuritegude eest (v.a artiklis 8 osutatud kuriteod) määratava karistuse maksimummäär kaheaastane vangistus (artikli 9 lõige 2);
·artiklites 4 ja 5 osutatud kuritegude eest, mis on mõjutanud arvestatavat hulka infosüsteeme, (mida nimetatakse üldjuhul robotvõrgu kuritegudeks) määratava karistuse maksimummäär on vähemalt kolmeaastane vangistus (artikli 9 lõige 3);
·kui artiklites 4 või 5 nimetatud kuriteo paneb toime kuritegelik organisatsioon (artikli 9 lõike 4 punkt a), kuritegu põhjustab rasket kahju (artikli 9 lõike 4 punkt b) või see pannakse toime elutähtsa infrastruktuuri infosüsteemi vastu (artikli 9 lõike 4 punkt c), siis on määratava karistuse maksimummäär vähemalt viieaastane vangistus;
·kui artiklites 4 ja 5 nimetatud kuriteod pannakse toime teise isiku isikuandmete väärkasutamise teel, siis peaksid liikmesriigid tagama, et seda saab käsitada raskendava asjaoluna, välja arvatud juhul, kui need asjaolud kuuluvad juba teise kuriteo koosseisu (artikli 9 lõige 5).
Järgmiste artiklitega kehtestatakse juriidiliste isikute vastutuse (artikkel 10) miinimumtingimused ja esitatakse nende suhtes kohaldatavate võimalike karistuste näidisloetelu (artikkel 11).
Võttes arvesse, et eespool nimetatud kuritegusid võib (ellu viimise tähenduses) toime panna kohas, kus teo toimepanija tegelikult tegutseb, ning sihtmärgiks olevale infosüsteemile võib avalduda mõju teises kohas, sätestatakse artiklis 12 kohustus kehtestada jurisdiktsioon, mille puhul eristatakse järgmist:
·koht, kus kuriteo toimepanija teo toimepanemise ajal füüsiliselt viibib;
·sihtmärgiks oleva infosüsteemi asukoht;
·kuriteo toimepanija kodakondsus;
·kuriteo toimepanija peamine elukoht ning
·selle juriidilise isiku asutamise koht, kelle huvides kuritegu toime pannakse.
Teabevahetuse puhul peavad liikmesriigid artikli 13 lõike 1 kohaselt tagama, et neil on toimivad riiklikud kontaktpunktid, mis tegutsevad seitse päeva nädalas ööpäev läbi ja saavad vastata välisriikide kiireloomulistele abitaotlustele hiljemalt kaheksa tunni jooksul.
Lisaks sellele peavad liikmesriigid võtma meetmeid, mis on vajalikud, et lihtsustada eespool nimetatud kuritegude kohta aruannete esitamist riikide pädevatele asutustele (artikli 13 lõige 3) ning koguda ja jagada nende kuritegude kohta nõutavas minimaalses koguses statistilisi andmeid (artikkel 14).
1.2. Aruande eesmärk ja metoodika
Direktiivi artiklis 16 nõutakse liikmesriikidelt, et nad jõustaksid direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt 4. septembriks 2015 ning teavitaksid sellest komisjoni.
Käesoleva aruandega täidetakse direktiivi artiklis 17 komisjonile pandud kohustus esitada Euroopa Parlamendile ja nõukogule aruanne, milles hinnatakse, millises ulatuses on liikmesriigid võtnud direktiivi järgimiseks vajalikke meetmeid. Aruande eesmärk on anda lühike, kuid sisukas ülevaade peamistest ülevõtmismeetmetest, mida liikmesriigid on rakendanud.
Direktiivi ülevõtmiseks liikmesriikides tuli koguda teavet asjakohaste õigusaktide ja haldusmeetmete kohta, seda analüüsida, valmistada ette uued õigusaktid või üldjuhul muuta olemasolevaid, tagada õigusaktide vastuvõtmine ning lõpuks esitada komisjonile aruanne.
Ülevõtmistähtpäevaks oli 22 liikmesriiki teavitanud komisjoni, et nad on direktiivi täielikult üle võtnud. 2015. aasta novembris algatas komisjon riiklikest ülevõtmismeetmetest teatamata jätmise tõttu rikkumismenetluse ülejäänud viie liikmesriigi: BE, BG, ELi, IE ja SI vastu 5 . 31. mai 2017. aasta seisuga olid riiklikest ülevõtmismeetmetest teatamata jätmise tõttu BE, BG ja IE vastu algatatud rikkumismenetlused veel pooleli 6 .
Aruandes esitatud kirjeldus ja analüüs põhinevad teabel, mille liikmesriigid olid esitanud 31. maiks 2017 7 . Arvesse ei ole võetud pärast nimetatud kuupäeva saabunud teateid. Võeti arvesse kõiki teatatud meetmeid, mis osutasid siseriiklikele õigusaktidele, kohtuotsuseid ning vajaduse korral üldtunnustatud õigusteooriat. Lisaks sellele võttis komisjon analüüsi vältel liikmesriikidega otse ühendust, kui oli vajalik ja asjakohane saada lisateavet ja selgitusi. Analüüsis võeti arvesse kogu saadud teavet.
Lisaks aruandes märgitud küsimustele võib esineda ka muid ülevõtmisega seotud probleeme ja olla olemas sätteid, millest komisjoni ei ole teavitatud, samuti võivad tulevikus aset leida seadusandlikud ja muud muudatused. Seetõttu ei välista see aruanne mõne sätte komisjonipoolset täiendavat hindamist ega seda, et liikmesriike toetatakse jätkuvalt direktiivi ülevõtmisel ja rakendamisel.
2. Ülevõtmismeetmed
2.1. Õigusmõisted (direktiivi artikkel 2)
Direktiivi artiklis 2 on sätestatud õigusmõisted „infosüsteem“ (punktis a), „arvutiandmed“ (punktis b), „juriidiline isik“ (punktis c) ja „õigusliku aluseta“ (punktis d). Ainult CY ja UK (Gibraltar) on kehtestanud õigusaktid, mis hõlmavad eespool loetletud mõistete kõiki aspekte. See tähendab üksikasjalikult järgmist.
a) Infosüsteem
Direktiivi määratlus tugineb Budapesti konventsiooni artikli 1 punktis a sätestatud mõiste „arvutisüsteem“ määratlusele, millele on lisatud infosüsteemi osana arvutiandmed ise. Mõiste „infosüsteem“ määratlust sisaldavad õigusaktid on võtnud kasutusele CY, EL, IE, FI, HR, MT, PT ja UK (Gibraltar) ning DE, ESi, FRi, LU, LV, PLi, SE ja SK esitatud teave oli ebapiisav. Ülejäänud liikmesriikide, s.o AT, BE, BG, CZi, EE, HU, IT, LT, NLi, RO, SI ja UK (v.a Gibraltar) puhul ei nimetata vastava õigusmõiste määratluses konkreetselt „arvutiandmeid“. See tähendab, et osutatakse Budapesti konventsiooni artikli 1 punktile a ja kohaldamisala on identne mõiste „arvutisüsteem“ määratlusega.
b) Arvutiandmed
Mõiste „arvutiandmed“ on õigusaktides sätestanud AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO ja UK (Gibraltar) ning ESi, FRi, IT, LU, LV, PLi, SE, SK ja UK (v.a Gibraltar) esitatud teave oli ebapiisav. Samas muudab SE puhul seda teemat käsitlevate artiklite konkreetne ülesehitus selle määratluse liiaseks. Ülejäänud liikmesriikidest osutab HU mõiste „arvutiandmed“ määratluses ainult direktiivi artiklites 4 ja 5 kirjeldatud kuritegudele ning BE ja SI ei ole lisanud mõiste „arvutiandmed“ määratlusse teksti „programm, mille abil saab infosüsteemi panna ülesannet täitma“.
c) Juriidiline isik
Kui arvata välja LU, kes ei esitanud artikli 2 punkti c ülevõtmise kohta piisavat teavet, ei põhjustanud mõiste „juriidiline isik“ ülevõtmine probleeme. Seda seetõttu, et liikmesriikide tsiviilõiguse või kaubandusõiguse sätetes on see mõiste juba üldjuhul olemas. Ainult CY on kehtestanud direktiivi ülevõtmise meetmete raames asjakohase erisätte.
d) Õigusliku aluseta
Artikli 2 punktis d sätestatud mõiste „õigusliku aluseta“ määratluse puhul teatasid ülevõtmisest ainult CY, IE, RO ja UK (Gibraltar) ning 23 liikmesriiki ei rakendanud selle mõiste jaoks mingeid ülevõtmismeetmeid. Samas tuleb märkida, et kõikides liikmesriikides kohaldatakse üldpõhimõtet, mille alusel ei saa võtta kedagi kriminaalvastutusele sellise tegevuse eest, mis pannakse toime antud õiguste alusel.
2.2. Konkreetsed kuriteod (direktiivi artiklid 3–7)
a) Ebaseaduslik sisenemine infosüsteemi
Direktiivi artikli 3 (mis käsitleb ebaseaduslikku sisenemist infosüsteemi) on siseriiklike õigusaktidega reguleerinud AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE ja SK.
Kõigi ülejäänud liikmesriikide puhul (s.o BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI ja UK) ei eristata kuriteo riiklikus kirjelduses kogu infosüsteemi või ainult selle osasse sisenemist, kuigi see on direktiivis otseselt sätestatud. Samuti ei hõlma DE ülevõtmise õigusaktid ainult arvuti riistvarale juurdepääsu saamist ning AT ja LU on sätestanud lisanõudeid konkreetsete kavatsuste kohta (kavatsus saada teadmisi, põhjustada ebasoodne olukord või petmiskavatsus) ning LV olulise kahju põhjustamise kohta. BE, BG, FRi, HRi, LU, MT, PT, RO, SI ja UK puhul on riiklike sätete kohaldamisala direktiivi kohaldamisalast laiem, kuna riiklike sätete kohaselt ei pea isik olema mööda hiilinud turvameetmetest, et teda saaks kriminaalvastutusele võtta. Ülejäänud liikmesriigid kas osutavad sellele, et juba turvameetme rikkumine iseenesest tähendab, et kuritegu on toime pandud, (CY, EL ja SK) või kasutavad selle aspekti kirjeldamiseks samalaadseid mõisteid (AT, CZ, DE, EE, ES, FI, HU, IT, LT, LV, NL, PL ja SE).
b) Ebaseaduslik süsteemi häirimine
Direktiivi artiklis 4 osutatakse ebaseaduslikule süsteemi häirimisele. Direktiivis loetletakse kaheksa võimalikku tegevust (arvutiandmete sisestamine, edastamine, kahjustamine, kustutamine, rikkumine, muutmine, sulustamine või ligipääsmatuks muutmine) ja nende tegevuste kaks võimalikku tulemust (infosüsteemi töö tõsine takistamine või katkestamine). Vastavad õiguslikud meetmed on võtnud kasutusele BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE ja UK (v.a Gibraltar). BG osutab ainult viiruse sisestamisele ning ülejäänud liikmesriikide (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK ja UK) puhul on jäetud konkreetselt nimetamata üks kuni neli võimalikku tegevust. Selles kontekstis tekkis enamik probleemidest mõistetega „rikkumine“ (puudu kaheksal juhul) ja „ligipääsmatuks muutmine“ (puudu üheksal juhul).
c) Ebaseaduslik andmetesse sekkumine
Direktiivi artiklis 5 käsitletakse ebaseaduslikku andmetesse sekkumist ja loetletakse kuus võimalikku tegevust: andmete kustutamine, kahjustamine, rikkumine, muutmine, sulustamine või ligipääsmatuks muutmine. CY, EL, IE ja MT on sätte sõnasõnalt üle võtnud; BE, CZ, LT, PT ja SE kasutasid võimalike tegevuste hõlmamiseks üldisemaid mõisteid. Kõigi ülejäänud liikmesriikide ülevõtmismeetmed ei hõlma kõiki võimalusi ja osutavad neist ainult viiele (FI ja SK) või vähematele (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI ja UK). Enamik probleemidest tekkis tegevustega „kahjustamine“ (puudu kaheksal korral), „rikkumine“ (puudu 13 korral), „sulustamine“ (puudu 11 korral) ja „ligipääsmatuks muutmine“ (puudu 13 korral). Lisaks direktiivi sõnastusele saab FI puhul isiku kriminaalvastutusele võtta ainult juhul, kui ta kavatseb tekitada rahalist või muud kahju, ning LT ja LV puhul, kui tema tegu põhjustab suurt või olulist kahju.
d) Teabe ebaseaduslik pealtkuulamine
Artiklis 6 osutatakse mitteavalikult edastatavate arvutiandmete ja neid andmeid edastava infosüsteemi elektromagnetkiirguse ebaseaduslikule pealtkuulamisele. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK ja UK (Gibraltar) on võtnud vastu õigusaktid, mis täielikult katavad artikli 6 kohaldamisala. Arvutiandmete pealtkuulamise osas piirdub direktiivi üldine kohaldamisala AT ja BG puhul teadetega ning EE puhul isiku ja FR ja HU puhul teabevahetuse jälgimisega. Samuti ei hõlma järgmiste liikmesriikide ülevõtmismeetmed elektromagnetkiirguse pealtkuulamist: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI ja UK (v.a Gibraltar). Lisaks sellele nõutakse teatavates liikmesriikides konkreetset kavatsust (näiteks kavatsus saada teadmisi või majanduslikku kasu või põhjustada ebasoodne olukord – vt AT, EL ja HU) või konkreetseid lisategevusi (näiteks pealkuulatava infosisu salvestamine või sellest teadlikuks saamine – vt BG ja HU).
e) Kuriteo toimepanemisel kasutatud vahendid
Artikli 7 alusel käsitatakse kuriteona mitut tegevust, mis on seotud selliste vahenditega nagu arvutiprogrammid ja juurdepääsukoodid, mida kasutatakse artiklites 3–6 nimetatud kuritegude toimepanemiseks: nende vahendite tootmine, müük, kasutamiseks hankimine, importimine, levitamine või muul viisil kättesaadavaks tegemine. Vastavad siseriiklikud õigusaktid on kehtestanud AT, BE, CY, DE, EL, IE ja SK. Teatavad liikmesriigid (EE, IT, MT, PL ja SI) ei reguleeri kõiki osutatud kuritegusid. Mõned neist (CZ ja SI) ei erista artiklis 7 sätestatud teo toimepanijat artiklites 3–6 nimetatud kuritegude toimepanijast. Teatavates liikmesriikides nõutakse konkreetset kavatsust (põhjustada kahju või petta – vt FI, IT ja LU), konkreetset tulemust, näiteks saladuse kuritarvitamist (BG), või vähemalt ettevalmistusi osutatud kuritegude toimepanemiseks (SE). Artikli 7 ja liikmesriikide meetmete vahel on leitud erinevusi, mis tulenevad kõigi loetletud võimalike tegevuste ülevõtmata jätmisest. See kehtib BG, CZi, EE, ESi, FRi, HRi, HU, IT, LT, LU, LV, PLi, PT, RO, SI ja UK puhul. Neist LU õigusaktides nimetatakse konkreetselt viite direktiivis loetletud kuuest võimalikust tegevusest ja teised liikmesriigid osutavad otseselt ainult neljale või vähemale tegevusele.
Ainult ES on võtnud üle kasutamiseks hankimist käsitleva sätte.
2.3. Asjaomaste kuritegudega seotud üldised õigusnormid (direktiivi artiklid 8–12)
a) Kihutamine ja kaasa aitamine
Artikli 8 lõikega 1 nõutakse, et liikmesriigid tagaksid, et artiklites 3–7 osutatud kuritegude toimepanemisele kihutamine või neile kaasaaitamine oleks kriminaalkorras karistatav. Kõik liikmesriigid on selle sätte üle võtnud.
b) Kuriteokatse
Artikli 8 lõike 2 kohaselt peab artiklites 4 ja 5 osutatud kuriteokatse olema kriminaalkorras karistatav. Kõik liikmesriigid peale PT, kes ei reguleeri kõiki artiklis 4 sätestatud kuritegude toimepanemise katseid, ja SE, kes ei võta isikuid kriminaalvastutusele teabevahetuse salajasuse rikkumise katse eest, on kehtestanud õigusaktid, et võtta see säte üle.
c) Karistused
aa) Üldsätted
Artikli 9 lõikega 1 nõutakse üldiselt, et liikmesriigid sätestaks direktiiviga hõlmatud kuritegude eest karistamiseks tõhusad, proportsionaalsed ja hoiatavad kriminaalkaristused. Kuigi seda eeldatakse peaaegu kõikide liikmesriikide puhul, ei vasta AT, BE, BG, IT, PT, SE ja SI kõikidel juhtudel artikli 9 lõikes 2 sätestatud karistuste minimaalsetele maksimummääradele (vt punkt 1.1 eespool). See mõjutab artikli 9 lõike 1 ülevõtmist, kuna saab järeldada, et artikli 9 lõikes 2 sätestatud miinimumnõuded on tõhusate, proportsionaalsete ja hoiatavate kriminaalkaristuste jaoks vajalik miinimum.
bb) Karistuste üldised minimaalsed maksimummäärad
Artikli 9 lõikes 2 on sätestatud, et artiklites 3–7 osutatud standardkuritegude eest määratava karistuse minimaalne maksimummäär on vähemalt kaheaastane vangistus. Enamikus liikmesriikidest on see säte üle võetud. Teatavaid kõrvalekaldeid esineb ainult kuue liikmesriigi puhul: AT (kuni kuuekuuline vangistus), BG (kuni üheaastane vangistus kõikide kuritegude puhul, v.a ebaseaduslik pealtkuulamine), IT (kuni üheaastane vangistus artikli 7 punktis b sätestatud kuriteo puhul), PT (kuni üheaastane vangistus artiklis 3 sätestatud kuriteo puhul), SE (kuni üheaastane vangistus kahju põhjustamise kuriteo puhul) ja SI (kuni üheaastane vangistus artiklites 3, 6 ja 7 sätestatud kuritegude puhul). BE puhul määratakse artiklites 3, 6 ja 7 sätestatud kuritegude eest karistuse minimaalne maksimummäär ainult juhul, kui kuriteod pannakse toime petmiskavatsusega.
cc) Arvestatava hulga infosüsteemide mõjutamine
Artikli 9 lõikega 3 suurendatakse karistuste minimaalset maksimummäära kolmeaastase vangistuseni, kui artiklites 4 ja 5 osutatud kuriteod mõjutavad arvestatavat hulka infosüsteeme. Liikmesriigid on üldjuhul kehtestanud vastavad õigusaktid, DE osutab ainult infosüsteemidele, mis on teise isiku jaoks märkimisväärse tähtsusega, FI nõuab, et pikema karistuse määramiseks tuleb hinnata kuritegu tervikuna, ja LV ei osuta arvestatavale hulgale infosüsteemidele (ega kasuta sarnast sõnastust), vaid ainult olulise kahju põhjustamisele. BG ja SI esitatud teave oli ebapiisav.
dd) Kuritegelikud organisatsioonid
Artikli 9 lõike 4 punkti a kohaselt tuleb artiklites 4 ja 5 sätestatud kuritegude toimepanemise eest määrata karistus, mille maksimummäär on vähemalt viieaastane vangistus, kui kuriteo on toime pannud raamotsuses 2008/841/JSK määratletud kuritegelik organisatsioon.
Enamik liikmesriikidest järgivad jällegi artikli 9 lõike 4 punkti a sätteid. LU ja SI kriminaalõiguse kohaselt ei hõlma kuritegeliku organisatsiooni toime pandud kuritegusid käsitlevad sätted küberkuritegusid. BE õigusaktides sätestatakse artiklis 5 osutatud kuritegude eest määratava karistuse maksimummäärana ainult kolmeaastane vangistus, DE õigusaktid ei hõlma olukordi, mille puhul kuriteo ohvriteks on füüsilised isikud, FI õigusaktides nõutakse, et viidaks ellu kuriteo kui terviku täiendav hindamine, ning SE õigusaktides sätestatakse tõsise kahju põhjustamise eest määratava karistuse maksimummäärana nelja-aastane vangistus.
ee) Raske kahju põhjustamine
Artikli 9 lõike 4 punktis b sätestatakse artiklites 4 ja 5 sätestatud kuritegude toimepanemise eest määratava karistuse minimaalse maksimummäärana viieaastane vangistus, kui kuritegu põhjustab rasket kahju. Kuigi mõistet „raske kahju“ ei ole määratletud, on kõik liikmesriigid peale BG, DE, FI, HU, LU ja SE kehtestanud direktiivile vastavad õigusaktid. HU esitatud teave oli ebapiisav. BG ei ole kehtestanud karistuse minimaalset viieaastast maksimummäära ja LU osutab raske kahju põhjustamise korral üldisele karistusklauslile, mis ei hõlma küberkuritegusid. Väikeseid kõrvalekaldeid esineb DE (ei reguleerita kuritegusid, mille ohvrid on füüsilised isikud), FI (suurema karistuse puhul tuleb täiendavalt hinnata kuritegu tervikuna) ja SE (raske kahju põhjustamise eest määratava karistuse maksimummäär on nelja-aastane vangistus) puhul.
ff) Elutähtsa infrastruktuuri infosüsteemid
Kui artiklites 4 ja 5 sätestatud kuriteod pannakse toime elutähtsa infrastruktuuri infosüsteemide vastu, siis tuleb samuti määrata karistuse maksimummääraks vähemalt viieaastane vangistus, nagu on sätestatud artikli 9 lõike 4 punktis c.
Kuigi enamik liikmesriike täidavad seda nõuet, ei ole BG esitanud ülevõtmise kohta konkreetset teavet. BE on kehtestanud artiklis 5 sätestatud kuritegude eest määratava karistuse maksimummääraks kolmeaastase vangistuse. DE ei ole reguleerinud olukordi, mille puhul kuriteo ohvriks on füüsilised isikud. FI nõuab, et kuritegu hinnataks täiendavalt tervikuna, IT nõuab, et tegevus põhjustaks tegelikke kahjustusi, PT nõuab, et toimuks tõsine ja püsiv rünne, ega osuta artiklile 5 ning SE täidab direktiivi nõudeid ainult raske saboteerimisega seotud kuriteo puhul.
gg) Identiteedivargus ja teised identiteediga seotud kuriteod
Artikli 9 lõikes 5 nõutakse, et liikmeriigid tagaksid, et kui artiklites 4 ja 5 osutatud mis tahes kuriteod pannakse toime teise isiku isikuandmete väärkasutamise teel, eesmärgiga võita kolmanda isiku usaldus, ning tekitatakse seeläbi kahju tegeliku identiteedi omanikule, siis võib seda käsitada raskendava asjaoluna, välja arvatud juhul, kui need asjaolud kuuluvad teise kuriteo koosseisu. Selles küsimuses antud ulatusliku kaalutlusõiguse tõttu rakendasid liimesriigid mitmeid erinevaid ülevõtmismeetmeid. BE ja EL ei ole üldse ülevõtmisest teatanud ja CZ kriminaalõiguses puuduvad asjakohased erisätted. AT, CY, ES, IE, MT, PT ja SE on kasutanud raskendava asjaolu lähenemisviisi (SE osutab konkreetse kavandamise asjaolule) ja kõik teised liikmesriigid osutavad konkreetse kuriteo puhul erisätetele. Erisätetele osutavate liikmesriikide puhul on ülevõtmisel täheldatud järgimisi probleeme: BG ja NL nõuavad erikavatsust (saada kasu ja varjata enda isikut või väärkasutada isikuandmeid), DE osutab ainult isikuandmetele, mis ei ole üldsusele kättesaadavad, FR osutab ainult isiku nimele ja mitte teistele isikuandmetele, LV eeldab, et põhjustataks olulist kahju, RO reguleerib ainult dokumendi kasutamist ja nõuab pettuse toimepanemist.
d) Juriidilise isiku vastutus
aa) Üldosa
Artikli 10 lõikes 1 nõutakse, et artiklites 3–8 osutatud kuritegude eest saaks vastutusele võtta juriidilise isiku, kui kuriteo toimepanijal on õigus esindada juriidilist isikut (punkt a), õigus teha juriidilise isiku nimel otsuseid (punkt b) või õigus juriidilist isikut kontrollida (punkt c). Kõik liikmesriigid on kehtestanud sellele artiklile vastavad õigusaktid ainult järgmiste väheoluliste probleemidega: BG ei reguleeri artiklis 6 käsitletud kuritegusid ja HR ei osuta kuriteo toimepanijale, kellel on õigus juriidilist isikut kontrollida (artikli 10 lõike 1 punkt c).
bb) Järelevalve või kontrolli puudumine
Artikli 10 lõikes 2 nõutakse, et liikmesriigid võimaldaksid võtta vastutusele juriidilisi isikuid, kui artikli 10 lõikes 1 osutatud isiku järelevalve või kontrolli puudumine võimaldas panna toime mõne artiklites 3–8 osutatud kuriteo. Kuigi seda nõuet täidavad peaaegu kõik liikmesriigid, ei olnud LU esitatud teave piisav ja BG ei osuta artikliga 6 reguleeritud kuriteo toimepanemisele.
e) Juriidilise isiku suhtes kohaldatavad karistused
aa) Kohustuslikud karistused
Direktiivi artikli 11 lõikes 1 nõutakse, et liikmesriigid kohaldaksid juriidiliste isikute suhtes tõhusaid, proportsionaalseid ja hoiatavaid karistusi, mille hulka kuuluvad kriminaalõiguslikud või muud trahvid. Kõik liikmesriigid peale IE ja UK on teatanud nõuetele vastavatest riiklikest meetmetest. Neis kahes riigis ei ole võimalike trahvide maksimumsummat konkreetsete õiguslike sätete puudumise tõttu kindlaks määratud. Seetõttu ei ole võimalik hinnata nende trahvide tõhusust, proportsionaalsust ega hoiatavust.
bb) Võimalikud karistused
Artikli 11 lõikes 1 on seejärel loetletud juriidilistele isikutele määratavad võimalikud lisakaristused. Need on järgmised: riiklike hüvitiste või abi saamise õigusest ilmajätmine (seda on kasutanud CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT ja SK), ajutine või alaline ettevõtluskeeld (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI ja SK), kohtuliku järelevalve alla võtmine (CY, ES, FR, MT, PT ja RO), sundlõpetamine (CY, CZ, EL, ES, FR, HR, HU,LT, LU, LV, MT, PT, RO, SI ja SK) ning kuriteo toimepanekuks kasutatud üksuste ajutine või lõplik sulgemine (BE, CY, WS, FR, LT, MT, PT ja RO). Seega ei ole ühtegi neist võimalustest kasutanud BG, DE, EE, IE, FI, NL ja UK.
cc) Tegevusetuse eest määratavad karistused
Artikli 11 lõike 2 kohaselt peavad liikmesriigid tagama, et artikli 10 lõikes 2 osutatud tegevusetusega seotud kuritegude eest vastutusele võetavate juriidiliste isikute suhtes kohaldatakse tõhusaid, proportsionaalseid ja hoiatavaid karistusi. LU esitatud teave oli ebapiisav. Kõik teised liikmesriigid peale IE ja UK on rakendanud vastavad õigussätted. IE ja UK puhul on tegemist sama probleemiga kui artikli 11 lõike 1 puhul: vt punkt aa eespool.
f) Jurisdiktsioon
aa) Nõutavad jurisdiktsiooni alused
Direktiivi artikli 12 lõigetes 2 ja 3 nõutakse, et liikmesriigid kehtestaksid oma jurisdiktsiooni artiklites 3–8 osutatud kuritegude suhtes, kui kuritegu on pandud toime osaliselt või tervikuna nende territooriumil (kas teo toimepanija viibis kuriteo toimepanemise ajal füüsiliselt liikmesriigi territooriumil või kuritegu on suunatud liikmesriigi territooriumil asuva infosüsteemi vastu) või kui kuriteo on toime pannud liikmesriigi kodanik, kes viibib välisriigis. Enamik liikmesriikidest on võtnud vastu asjakohased siseriiklikud õigusaktid, IT õigusaktides ei ole määratud kindlaks jurisdiktsiooni välisriigis viibivate kodanike üle kergemate õigusrikkumiste puhul, LV ja SI õigusaktide sätted ei ole territoriaalsete aspektide puhul selged, MT jurisdiktsioon riigi territooriumil kuritegude osalise toimepanemise puhul ei ole selge ja UK osutab infosüsteemi asemel arvutile.
bb) Muud jurisdiktsiooni alused
Artikli 12 lõikes 3 on sätestatud, et kui liikmesriigid otsustavad kehtestada jurisdiktsiooni kuriteo suhtes, mille toimepanija peamine elukoht asub nende territooriumil (mida on teinud AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE ja SK) või mis on toime pandud nende territooriumil asutatud juriidilise isiku kasuks (CY, CZ, LV, PT, RO ja SK), siis peaksid nad sellest komisjonile teatama.
2.4. Operatiivküsimused (direktiivi artiklid 13–14)
a) Sätted toimivate riiklike kontaktpunktide kohta
Artikli 13 lõikes 1 kutsutakse liikmesriike üles looma toimivad riiklikud kontaktpunktid, et vahetada artiklites 3–8 osutatud kuritegudega seotud teavet. Selle sätte kohaselt peaksid liikmesriigid tagama, et kasutusel on menetlused, mis võimaldavad pädeval asutusel alati vastata kaheksa tunni jooksul kiireloomulise abitaotluse kättesaamisest. Teadete kohaselt on enamik liikmesriikidest võtnud kasutusele vajaliku infrastruktuuri. IE ja RO märkisid, et kõnealused kontaktpunktid on päeva jooksul saadaval ainult piiratud arvu tunde, mis ei võimaldaks asutusel alati reageerida taotluse kättesaamisest kaheksa tunni jooksul. Mitu liikmesriiki märkisid, et nad kasutavad G7 võrgustiku kaudu või Euroopa Nõukogu Budapesti küberkuritegevuse konventsiooni alusel loodud toimivate kontaktpunktide olemasolevat võrgustikku.
b) Teave loodud toimivate riiklike kontaktpunktide kohta
Artikli 13 lõike 2 kohaselt peavad liikmesriigid esitama oma kontaktpunktide kontaktandmed komisjonile, kes edastab selle teabe teistele liikmesriikidele. Kõik liikmesriigid on esitanud vajaliku teabe.
c) Aruandlusmoodused
Artikli 13 lõikes 3 nõutakse, et liikmesriigid tagaksid asjakohaste aruandlusmooduste olemasolu, millega lihtsustatakse artiklites 3–6 osutatud kuritegude kohta aruannete esitamist riigi pädevatele asutustele. HRi, IT, IE ja PT esitatud teave oli ebapiisav. Näib, et ülejäänud liikmesriigid on kasutanud aruandlusmooduste rakendamiseks erinevaid lähenemisviise. Enamik liimesriikidest (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK ja UK) on teatanud meetmetest, millega tagatakse meetodid, et muuta aruandlust lihtsamaks esimesena kuriteost teatava isiku või organisatsiooni, näiteks küberründe ohvri jaoks (LV ei ole tegelikke aruandlusmooduseid selgelt määratlenud). Teised liikmeriigid (AT, ES ja LU) on samas esitanud identse teabe artikli 13 lõigete 1 ja 2 rakendamise kohta, millest nähtub, et nende meetmed edendavad peamiselt ametiasutuste teabevahetust.
d) Statistiliste andmete kogumine
Artikli 14 lõigete 1 ja 2 kohaselt peavad liikmesriigid tagama, et neil on kasutusel süsteem statistiliste andmete salvestamiseks, koostamiseks ja esitamiseks vähemalt nende liikmesriikide poolt registreeritud kuritegude arvu kohta, millele on osutatud artiklites 3–7, ning nende isikute arvu kohta, kellele on esitatud kõnealuste kuritegude eest süüdistus ja kes on neis süüdi mõistetud. Laekunud teadaannete kohaselt on enamik liikmesriike rakendanud teabe kogumiseks nii seadusandlikud kui ka haldusmeetmed, üldjuhul üldise riikliku elektroonilise süsteemi põhjal. Mitmelt liikmesriigilt (EL, IE, UK (Gibraltar, Põhja-Iirimaa ja Šotimaa)) laekunud teave oli ebapiisav. Põhjused seisnesid näiteks selles, et direktiivis osutatud konkreetsete kuritegude kohta ei kogutud eraldi teavet (BE, DE ja SE) või kogutud teave ei hõlmanud kõiki direktiivis osutatud kuritegusid (RO).
e) Statistiliste andmete edastamine komisjonile
Artikli 14 lõikes 3 nõutakse, et liikmesriigid edastaksid vastavad statistilised andmed komisjonile. Kõik liikmesriigid, kes on meetmetest teatanud, v.a UK (Gibraltar, Põhja-Iirimaa ja Šotimaa) ja HU, on kinnitanud, et nad rakendavad õiguslikke ja/või haldusmeetmeid, millega tagatakse selle kohustuse täitmine. ELi, ESi, LU ja SI esitatud teave oli ebapiisav.
3. Kokkuvõte ja edasised meetmed
Tänu direktiivile on tehtud märkimisväärseid edusamme, et kriminaliseerida küberründed võrreldaval tasemel kõikides liikmesriikides, mis lihtsustab seda liiki kuritegusid uurivate õiguskaitseasutuste piiriülest koostööd. Liikmesriigid on muutnud kriminaalseadustikke ja muid asjakohaseid õigusakte, tõhustanud menetlusi ja võtnud kasutusele täiustatud koostöökavad. Komisjon tunnustab liikmesriikide suuri jõupingutusi direktiivi ülevõtmisel.
Siiski on veel palju ruumi direktiivi kõikide võimaluste ärakasutamiseks, kui liikmesriikides rakendataks kõiki selle sätteid täielikult. Senine analüüs näitab, et üks peamistest valdkondadest, mille abil liikmesriigid saavad direktiivi paremini rakendada, on mõistete määratlemine (artikkel 2), mis mõjutab direktiivi alusel siseriiklikus õiguses määratletud kuritegude kohaldamisala. Samuti näib, et liikmesriikide jaoks on olnud problemaatiline hõlmata kõiki kuritegudega seotud tegevuste (artiklid 3–7) võimalikke määratlusi ja küberrünnete eest määratavate karistuste ühiseid standardeid (artikkel 9). Muud probleemid on seotud asjakohaseid aruandlusmooduseid käsitlevate haldussätete rakendamisega (artikli 13 lõige 3) ning direktiivis sätestatud kuritegude järelevalve ja statistikaga (artikkel 14).
Komisjon toetab jätkuvalt liikmesriike direktiivi rakendamisel. Piirülest koostööd aitavad parandada eelkõige direktiivi operatiivsätted, mis käsitlevad teabevahetust (artikli 13 lõiked 1 ja 2), aruandlusmooduseid (artikli 13 lõige 3) ning järelevalvet ja statistikat (artikkel 14). Selleks annab komisjon liikmesriikidele lisavõimalusi, et määrata 2017. aasta teises pooles kindlaks parimad tavad ja neid tutvustada.
Komisjon ei pea praegu vajalikuks teha direktiivi muudatusettepanekuid. Selles kontekstis kaalub komisjon meetmete võtmist, et parandada piiriülest juurdepääsu kriminaaljuurdluste jaoks vajalikele elektroonilistele tõenditele, sealhulgas teeb 2018. aasta alguseks ettepanekuid õiguslike meetmete kohta, et toetada ka infosüsteemide vastaste rünnete, küberkuritegevuse aspekti omavate kuritegude ja muud liiki kuritegude valdkonnas toimuvaid kriminaaljuurdlusi. 8 Komisjon kaalub ka krüpteerimise rolli kriminaaljuurdlustes ja annab tulemustest teada 2017. aasta oktoobriks 9 .
Komisjon on võtnud endale ülesandeks tagada, et direktiivi ülevõtmine viiakse lõpuni kõikjal ELis ja selle sätteid rakendatakse korrektselt. Selle raames jälgitakse, et riiklikud meetmed oleksid kooskõlas direktiivi vastavate sätetega. Vajaduse korral kasutab komisjon rikkumismenetluse kaudu oma aluslepingutest tulenevat sunniõigust.