EVROPSKA KOMISIJA
Bruselj, 25.11.2021
COM(2021) 718 final
2021/0382(NLE)
Predlog
SKLEP SVETA
o pooblastitvi držav članic, da v interesu Evropske unije podpišejo Drugi dodatni protokol h Konvenciji o kibernetski kriminaliteti, ki obravnava okrepljeno sodelovanje in razkritje elektronskih dokazov
OBRAZLOŽITVENI MEMORANDUM
1.PREDMET PREDLOGA
Ta predlog se nanaša na sklep o pooblastitvi držav članic, da v interesu Evropske unije podpišejo Drugi dodatni protokol k „Budimpeški“ konvenciji Sveta Evrope o kibernetski kriminaliteti, ki obravnava okrepljeno sodelovanje in razkritje elektronskih dokazov (v nadaljnjem besedilu: Protokol). Cilj Protokola je zagotoviti skupna pravila na mednarodni ravni za izboljšanje sodelovanja na področju kibernetske kriminalitete in zbiranja dokazov v elektronski obliki za namene kazenskih preiskav ali postopkov.
Komisija bo predložila tudi predlog za sklep Sveta Evropske unije (v nadaljnjem besedilu: Svet) o pooblastitvi držav članic za ratifiikacijo Protokola v interesu Evropske unije.
Kibernetska kriminaliteta še naprej predstavlja znaten izziv za našo družbo. Ne glede na prizadevanja organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter pravosodnih organov se kibernetski napadi, vključno z izsiljevalskim programjem, množijo in postajajo vse bolj zapleteni. Zlasti zaradi brezmejnosti interneta so preiskave kibernetske kriminalitete skoraj vedno čezmejne narave, zato je potrebno tesno sodelovanje med organi v različnih državah.
Elektronski dokazi so za kazenske preiskave vse pomembnejši. Komisija ocenjuje, da organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in pravosodni organi danes potrebujejo dostop do elektronskih dokazov v 85 % kazenskih preiskav, vključno s kibernetsko kriminaliteto. Dokazi o morebitnih kaznivih dejanjih se vse pogosteje hranijo v elektronski obliki pri ponudnikih storitev v tujih jurisdikcijah, za učinkovit odziv kazenskega pravosodja pa so potrebni ustrezni ukrepi za pridobitev takih dokazov, da se ohrani pravna država.
Prizadevanja za izboljšanje čezmejnega dostopa do elektronskih dokazov za kazenske preiskave potekajo po vsem svetu, na nacionalni ravni, na ravni Evropske unije in na mednarodni ravni, tudi prek Protokola. Pomembno je na mednarodni ravni zagotoviti združljiva pravila, da bi se pri zahtevah za čezmejni dostop do elektronskih dokazov izognili koliziji zakonov.
2.OZADJE PREDLOGA
2.1.Ozadje
Cilj „Budimpeške“ konvencije Sveta Evrope o kibernetski kriminaliteti (CETS št. 185) (v nadaljnjem besedilu: Konvencija) je olajšati boj proti kaznivim dejanjem, ki izkoriščajo računalniška omrežja. Konvencija (1) vsebuje določbe, ki usklajujejo nacionalne kazenskopravne elemente kaznivih dejanj in s tem povezane določbe na področju kibernetske kriminalitete, (2) določa nacionalna pooblastila kazenskega procesnega prava, potrebna za preiskovanje in pregon takih kaznivih dejanj in drugih kršitev, storjenih prek računalniškega sistema, ali kadar so dokazi v elektronski obliki ter (3) je namenjena vzpostavitvi hitre in učinkovite ureditve mednarodnega sodelovanja.
Konvencija je odprta za države članice Sveta Evrope in nečlanice na povabilo. Trenutno je 66 držav pogodbenic Konvencije, vključno s 26 državami članicami Evropske unije. Konvencija ne predvideva, da bi Evropska unija lahko pristopila h Konvenciji. Vendar je Evropska unija priznana kot opazovalna organizacija v Odbora za Konvencijo o kibernetski kriminaliteti (T-CY).
Ne glede na prizadevanja za pogajanja o novi konvenciji o kibernetski kriminaliteti na ravni Združenih narodov je Budimpeška konvencija še naprej glavna večstranska konvencija za boj proti kibernetski kriminaliteti. Unija dosledno podpira Konvencijo, tudi v okviru financiranja programov za krepitev zmogljivosti.
Na podlagi predlogov skupine za dokazno gradivo v oblaku je Odbor za Konvencijo o kibernetski kriminaliteti sprejel več priporočil, da bi se, med drugim s pogajanji o Drugem dodatnem protokolu h Konvenciji o kibernetski kriminaliteti, ki obravnava okrepljeno sodelovanje, obravnaval izziv tega, da ponudniki storitev v tujih jurisdikcijah vse pogosteje hranijo elektronske dokaze v zvezi s kibernetsko kriminaliteto in drugimi kršitvami, medtem ko pooblastila glede kazenskega pregona ostajajo ozemeljsko omejena. Odbor za Konvencijo o kibernetski kriminaliteti je junija 2017 odobril mandat za pripravo Drugega dodatnega protokola med septembrom 2017 in decembrom 2019. Zaradi potrebe po več časa za dokončanje razprav in zaradi omejitev, ki jih je povzročila pandemija COVID-19 v letih 2020 in 2021, je Odbor za Konvencijo o kibernetski kriminaliteti mandat po tem dvakrat podaljšal, in sicer do decembra 2020, nato pa še do maja 2021.
Na podlagi poziva Evropskega sveta iz sklepov z dne 18. oktobra 2018 je Komisija 5. februarja 2019 sprejela priporočilo za sklep Sveta o pooblastitvi Komisije, da v imenu Evropske unije sodeluje pri pogajanjih o drugem dodatnem protokolu h Konvenciji Sveta Evrope o kibernetski kriminaliteti. Evropski nadzornik za varstvo podatkov je mnenje o priporočilu sprejel 2. aprila 2019. Svet Evropske unije je s sklepom z dne 6. junija 2019 Komisijo pooblastil, da v imenu Evropske unije sodeluje pri pogajanjih o Drugem dodatnem protokolu.
Kot je navedeno v strategiji EU za varnostno unijo iz leta 2020, strategiji EU za kibernetsko varnost za digitalno desetletje iz leta 2020 in strategiji EU za boj proti organiziranemu kriminalu iz leta 2021, je Komisija zavezana hitremu in uspešnemu zaključku pogajanj o Protokolu. Tudi Evropski parlament je v svoji resoluciji iz leta 2021 o strategiji EU za kibernetsko varnost za digitalno desetletje priznal, da je treba delo v zvezi s Protokolom zaključiti.
Komisija je v skladu s Sklepom Sveta Evropske unije v imenu Evropske unije sodelovala pri pogajanjih o Protokolu. Dosledno se je o stališču Unije posvetovala s posebnim odborom Sveta za pogajanja.
Komisija je v skladu z Okvirnim sporazumom o odnosih med Evropskim parlamentom in Evropsko komisijo o pogajanjih obveščala tudi Evropski parlament s pisnimi poročili in ustnimi predstavitvami.
Odbor za Konvencijo o kibernetski kriminaliteti je na svojem plenarnem zasedanju 28. maja 2021 odobril osnutek Protokola na svoji ravni ter ga posredoval Odboru ministrov Sveta Evrope v sprejetje. Svet ministrov Sveta Evrope je 17. novembra 2021 Protokol sprejel.
2.2.Drugi dodatni protokol
Cilj Protokola je okrepiti sodelovanje na področju kibernetske kriminalitete in zbiranja dokazov o kaznivih dejanjih v elektronski obliki za namene posameznih kazenskih preiskav ali postopkov. Protokol priznava potrebo po okrepljenem in učinkovitejšem sodelovanju med državami in zasebnim sektorjem ter več jasnosti ali pravne varnosti za ponudnike storitev in druge subjekte glede okoliščin, v katerih se lahko odzovejo na zahteve organov kazenskega pravosodja drugih pogodbenic za razkritje elektronskih dokazov.
Protokol tudi priznava, da so za učinkovito čezmejno sodelovanje za namene kazenskega pravosodja, tudi med organi javnega sektorja in subjekti zasebnega sektorja, potrebni učinkoviti pogoji in strogi zaščitni ukrepi za varstvo temeljnih pravic. V ta namen Protokol sledi pristopu, ki temelji na pravicah, ter določa pogoje in zaščitne ukrepe v skladu z mednarodnimi instrumenti o človekovih pravicah, tudi s Konvencijo Sveta Evrope o varstvu človekovih pravic in temeljnih svoboščin iz leta 1950. Ker elektronski dokazi pogosto zadevajo osebne podatke, Protokol vključuje tudi stroge zaščitne ukrepe za varstvo zasebnosti in osebnih podatkov.
Določbe iz naslednjih pododstavkov so za Protokol še posebej pomembne. Protokolu je priloženo podrobno obrazložitveno poročilo. Čeprav obrazložitveno poročilo ni instrument, ki bi zagotavljal verodostojno razlago Protokola, je namenjeno „vodenju in pomoči pogodbenicam“ pri uporabi Protokola.
2.2.1.Skupne določbe
Poglavje I Protokola določa skupne določbe. Člen 2 določa področje uporabe Protokola v skladu s področjem uporabe Konvencije: uporablja se za namene posameznih kazenskih preiskav ali postopkov v zvezi s kaznivimi dejanji, povezanimi z računalniškimi sistemi in podatki, ter za zbiranje dokazov o kaznivem dejanju v elektronski obliki.
V členu 3 so opredelitve pojmov „osrednji organi“, „pristojni organi“, „nujni primeri“, „osebni podatki“ in „pogodbenica prenosnica“. Te opredelitve se uporabljajo za Protokol, skupaj z opredelitvami pojmov iz Konvencije.
Člen 4 določa jezike, v katerih morajo pogodbenice predložiti naloge, zahteve ali uradna obvestila v skladu s Protokolom.
2.2.2.Ukrepi za sodelovanje
Poglavje II Protokola določa ukrepe za okrepitev sodelovanja. Prvič, člen 5(1) določa, da pogodbenice na podlagi Protokola sodelujejo v največjem možnem obsegu. Člen 5(2) do (5) določa uporabo ukrepov iz Protokola v razmerju do obstoječih pogodb ali ureditev o medsebojni pomoči. Člen 5(7) določa, da ukrepi iz poglavja II ne omejujejo sodelovanja med pogodbenicami ali s ponudniki storitev ali subjekti na podlagi drugih veljavnih sporazumov, ureditev, praks ali notranjega prava.
Člen 6 zagotavlja podlago za neposredno sodelovanje med pristojnimi organi ene pogodbenice in subjekti, ki opravljajo storitve registracije domenskih imen v drugi pogodbenici, za razkritje podatkov o registraciji domenskega imena.
Člen 7 zagotavlja podlago za neposredno sodelovanje med pristojnimi organi ene pogodbenice in ponudniki storitev v drugi pogodbenici za razkritje podatkov o naročnikih.
Člen 8 zagotavlja podlago za okrepljeno sodelovanje med organi za razkritje računalniških podatkov.
Člen 9 zagotavlja podlago za sodelovanje med organi za razkritje računalniških podatkov v nujnih primerih.
Člen 10 zagotavlja podlago za medsebojno pravno pomoč v nujnih primerih.
Člen 11 zagotavlja podlago za sodelovanje prek videokonference.
Člen 12 zagotavlja podlago za skupne preiskave in skupne preiskovalne enote.
2.2.3.Zaščitni ukrepi
Protokol sledi pristopu, ki temelji na pravicah, s posebnimi pogoji in zaščitnimi ukrepi, od katerih so nekateri vključeni v posebne ukrepe sodelovanja in v poglavje III Protokola. Člen 13 Protokola od pogodbenic zahteva, da zagotovijo, da za pooblastila in postopke velja ustrezna raven varstva temeljnih pravic, kar v skladu s členom 15 Konvencije zagotavlja uporabo načela sorazmernosti.
Člen 14 Protokola določa varstvo osebnih podatkov, kot je opredeljeno v členu 3 Protokola, v skladu s Protokolom o spremembi Konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (CETS 223) (Konvencija 108+) in pravom Unije.
Na tej podlagi so v členu 14(2) do (15) določeni temeljna načela varstva podatkov, vključno z vezanostjo na namen, pravno podlago, kakovostjo podatkov in pravili, ki se uporabljajo za obdelavo posebnih vrst podatkov, obveznosti, ki se uporabljajo za upravljavce, vključno s hrambo, vodenjem evidenc, varnostjo in nadaljnjim prenosom, izvršljive individualne pravice, vključno z obveščanjem, dostopom, popravki in avtomatiziranim odločanjem, neodvisen in učinkovit nadzor s strani enega ali več organov ter upravno in sodno varstvo. Zaščitni ukrepi se nanašajo na vse oblike sodelovanja, določene v Protokolu, po potrebi s prilagoditvami za obravnavo posebnih značilnosti neposrednega sodelovanja (npr. v okviru uradnega obveščanja o kršitvah). Uveljavljanje nekaterih pravic posameznikov se lahko odloži, omeji ali zavrne, kadar je to potrebno in sorazmerno za doseganje pomembnih ciljev javnega interesa, zlasti za preprečitev tveganja za tekoče preiskave na področju kazenskega pregona, kar je tudi v skladu s pravom Unije.
Člen 14 Protokola bi bilo treba razlagati tudi v povezavi s členom 23 Protokola. Člen 23 krepi učinkovitost zaščitnih ukrepov iz Protokola, saj določa, da Odbor za Konvencijo o kibernetski kriminaliteti oceni izvajanje in uporabo ukrepov, ki se v nacionalni zakonodaji sprejmejo za učinkovanje določb Protokola. Zlasti člen 23(3) izrecno priznava, da se bo izvajanje člena 14 s strani pogodbenic ocenilo, ko bo deset pogodbenic Konvencije izrazilo soglasje, da jih Protokol zavezuje.
Kot nadaljnji zaščitni ukrep lahko pogodbenica v skladu s členom 14(15), kadar ima tehtne dokaze, da druga pogodbenica sistematično ali bistveno krši zaščitne ukrepe iz Protokola, po posvetovanju ustavi prenos osebnih podatkov navedeni pogodbenici (kar se ne zahteva v nujnih primerih). Vsi osebni podatki, preneseni pred ustavitvijo, se še naprej obravnavajo v skladu s Protokolom.
Nazadnje, glede na večstranski značaj Protokola člen 14(1)(b) in (c) Protokola pogodbenicam v njihovih dvostranskih odnosih omogoča, da se pod določenimi pogoji dogovorijo o alternativnih načinih za zagotovitev varstva osebnih podatkov, prenesenih v skladu s Protokolom. Medtem ko se zaščitni ukrepi iz odstavkov člena 14(2) do (15) samodejno uporabljajo za pogodbenice, ki prejemajo osebne podatke, se lahko na podlagi člena 14(1)(b) na ta okvir sklicujejo tudi pogodbenice, ki jih vzajemno zavezuje mednarodni sporazum o vzpostavitvi celovitega okvira za varstvo osebnih podatkov v skladu z veljavnimi zahtevami zakonodaje zadevnih pogodbenic. To se na primer nanaša na Konvencijo 108+ (za tiste pogodbenice, ki dovoljujejo prenose podatkov drugim pogodbenicam na podlagi navedene konvencije) ali krovni sporazum EU-ZDA (v okviru njegovega področja uporabe, tj. za prenos osebnih podatkov med organi in, v povezavi s posebnim dogovorom o prenosu med ZDA in EU, za neposredno sodelovanje med organi in ponudniki storitev). Poleg tega lahko pogodbenici na podlagi člena 14(1)(c) vzajemno določita, da prenos osebnih podatkov poteka na podlagi drugih sporazumov ali ureditev med zadevnimi pogodbenicami. Države članice EU se lahko na tak alternativni sporazum ali ureditve za prenose podatkov na podlagi Protokola sklicujejo le, če so taki prenosi skladni z zahtevami prava Unije o varstvu podatkov, in sicer poglavja V Direktive (EU) 2016/680 (Direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj ) ter (za neposredno sodelovanje med organi in ponudniki storitev na podlagi členov 6 in 7 Protokola) poglavja V Uredbe (EU) 2016/679 (splošna uredba o varstvu podatkov).
2.2.4.Končne določbe
Poglavje IV Protokola določa končne določbe. Med drugim člen 15(1)(a) zagotavlja, da lahko pogodbenice vzpostavijo svoje odnose o zadevah, določenih v Protokolu, sicer v skladu z drugim odstavkom člena 39(2) Konvencije. Člen 15(1)(b) zagotavlja, da lahko države članice EU, ki so pogodbenice Protokola, v medsebojnih odnosih še naprej uporabljajo pravo Unije. Člen 15(2) določa tudi, da se za Protokol uporablja člen 39(3) Konvencije.
V členu 16(3) je navedeno, da bo Protokol začel veljati, ko bo pet pogodbenic Konvencije izrazilo soglasje, da jih Protokol zavezuje.
Člen 19(1) določa, da lahko pogodbenice uveljavljajo pridržke v zvezi s členom 7(9)(a) in (b), členom 8(13) in členom 17. Člen 19(2) določa, da lahko pogodbenice podajo izjave v zvezi s členom 7(2)(b) in členom 7(8), členom 8(11), členom 9(1)(b) in členom 9(5), členom 10(9), členom 12(3) ter členom 18(2). Člen 19(3) določa, da pogodbenica predloži izjave, uradna obvestila ali sporočila, opredeljena v členu 7(5)(a) in (e), členu 8(4) in členu 8(10)(a) in (b), členu 14(7)(c) in členu 14(10)(b) ter členu 17(2).
Člen 23(1) zagotavlja podlago za posvetovanja med pogodbenicami, tudi prek Odbora za Konvencijo o kibernetski kriminaliteti, v skladu s členom 46 Konvencije. Člen 23(2) zagotavlja tudi podlago za oceno uporabe in izvajanja določb Protokola. Člen 23(3) zagotavlja, da se ocenjevanje uporabe in izvajanja člena 14 o varstvu podatkov začne, ko deset pogodbenic izrazi soglasje, da jih Protokol zavezuje.
2.3.Pravo in politika Unije na tem področju
Področje, ki ga ureja Protokol, večinoma urejajo skupna pravila na podlagi člena 82(1) in člena 16 PDEU. Sedanji pravni okvir Evropske unije vključuje zlasti instrumente na področju kazenskega pregona in pravosodnega sodelovanja v kazenskih zadevah, kot so Direktiva 2014/41/EU o evropskem preiskovalnem nalogu v kazenskih zadevah, Konvencija o medsebojni pravni pomoči v kazenskih zadevah med državami članicami Evropske unije in Okvirni sklep Sveta 2002/465/PNZ o skupnih preiskovalnih enotah. Navzven je Evropska unija sklenila številne dvostranske sporazume med Unijo in tretjimi državami, kot so sporazumi o medsebojni pravni pomoči med Evropsko unijo in Združenimi državami Amerike, med Evropsko unijo in Japonsko ter medEvropsko unijo ter Norveško in Islandijo. Sedanji pravni okvir Evropske unije vključuje tudi Uredbo (EU) 2017/1939 o izvajanju okrepljenega sodelovanja v zvezi z ustanovitvijo Evropskega javnega tožilstva (EJT). Države članice, ki so vključene v okrepljeno sodelovanje, bi morale zagotoviti, da lahko EJT v obsegu izvajanja svojih pristojnosti, kot je določeno v členih 22, 23 in 25 Uredbe (EU) 2017/1939, zahteva sodelovanje v skladu s Protokolom na enak način kot nacionalna tožilstva navedenih držav članic. Ti instrumenti in sporazumi se nanašajo zlasti na člene 8, 9, 10, 11 in 12 Protokola.
Poleg tega je Unija sprejela več direktiv, ki krepijo procesne pravice osumljenih in obdolženih oseb. Ti instrumenti se nanašajo zlasti na člene 6, 7, 8, 9, 10, 11, 12 in 13 Protokola. Poseben sklop zaščitnih ukrepov se nanaša na varstvo osebnih podatkov, ki je temeljna pravica, zapisana v Pogodbah EU in Listini Evropske unije o temeljnih pravicah. Osebni podatki se lahko obdelujejo le v skladu z Uredbo (EU) 2016/679 (splošna uredba o varstvu podatkov) n Direktivo (EU) 2016/680 (Direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj). Temeljna pravica vsakega posameznika do spoštovanja njegovega zasebnega in družinskega življenja, stanovanja in komunikacij vključuje spoštovanje zasebnosti komunikacij kot bistven element. Elektronski komunikacijski podatki se lahko obdelujejo le v skladu z Direktivo 2002/58/ES (direktiva o zasebnosti in elektronskih komunikacijah). Ti instrumenti se nanašajo zlasti na člen 14 Protokola.
Odstavki člen 14(2) do (15) Protokola določa ustrezne zaščitne ukrepe za varstvo podatkov v smislu pravil Unije o varstvu podatkov, zlasti člena 46 Splošne uredbe o varstvu podatkov in člena 37 Direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj ter zadevne sodne prakse Sodišča Evropske unije. Države članice bi morale v skladu z zahtevami prava Unije in za zagotovitev učinkovitosti zaščitnih ukrepov iz člena 14 Protokola poskrbeti za uradno obveščanje posameznikov, katerih podatki so bili preneseni, ob upoštevanju nekaterih omejitev, npr. da se ne ogrozijo tekoče preiskave. Člen 14(11)(c) Protokola je zagotavlja podlago za to, da države članice izpolnijo to zahtevo.
Skladnost člena 14(1) Protokola s pravili Unije o varstvu podatkov zahteva tudi, da države članice preučijo naslednje alternativne možnosti za zagotovitev ustreznega varstva osebnih podatkov, prenesenih na podlagi Protokola. V zvezi z drugimi mednarodnimi sporazumi, ki vzpostavljajo celovit okvir za varstvo osebnih podatkov v skladu z veljavnimi zahtevami zakonodaje zadevnih pogodbenic, bi morale države članice v skladu s členom 14(1)(b) upoštevati, da je treba za neposredno sodelovanje krovni sporazum med EU in ZDA dopolniti z dodatnimi zaščitnimi ukrepi, ki jih je treba določiti v posebnem dogovoru o prenosu med ZDA in EU/njenimi državami članicami, ki upoštevajo edinstvene zahteve prenosa elektronskih dokazov neposredno s strani ponudnikov storitev in ne med organi.
Poleg tega bi morale države članice v skladu s členom 14(1)(b) Protokola upoštevati, da za države članice EU, ki so pogodbenice Konvencije št. 108+, ta konvencija sama po sebi ne zagotavlja ustrezne podlage za čezmejne prenose podatkov na podlagi Protokola drugim pogodbenicam navedene konvencije. V zvezi s tem bi morale upoštevati člena 14(1), zadnji stavek, Konvencije 108+.
Nazadnje bi morale države članice glede člena 14(1)(c) upoštevati, da se lahko opirajo na take druge sporazume ali ureditve le, če je Evropska komisija za zadevno tretjo državo sprejela sklep o ustreznosti v skladu s členom 45 splošne uredbe o varstvu podatkov (EU) 2016/679 ali členom 36 Direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj (EU) 2016/680, ki zajema zadevne prenose podatkov, ali če tak drug sporazum ali ureditev zagotavlja ustrezne zaščitne ukrepe za varstvo podatkov v skladu s členom 46 splošne uredbe o varstvu podatkov ali členom 37(1)(a) direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj.
Upoštevati je treba ne le trenutno veljavno pravo Unije na zadevnem področju, temveč tudi njegov prihodnji razvoj, če je tega mogoče predvideti v času analize. Področje, ki ga zajema Protokol, je neposredno povezano z predvidljivim prihodnjim razvojem prava Unije. V zvezi s tem je treba opozoriti na predloge Komisije o čezmejnem dostopu do elektronskih dokazov iz aprila 2018.
Komisija je med sodelovanjem v pogajanjih v imenu Unije zagotovila, da je Protokol v celoti skladen s pravom Unije in obveznostmi držav članic, ki izhajajo iz njega. Komisija je zlasti zagotovila, da določbe Protokola državam članicam omogočajo spoštovanje temeljnih pravic, svoboščin in splošnih načel prava Unije, kot so določeni v Pogodbah EU in Listini o temeljnih pravicah, vključno s sorazmernostjo, procesnimi pravicami, domnevo nedolžnosti in pravico do obrambe oseb, ki so v kazenskem postopku, ter zasebnostjo in varstvom osebnih podatkov in elektronskih komunikacijskih podatkov, kadar se taki podatki obdelujejo, vključno s prenosi organom kazenskega pregona v državah zunaj Evropske unije, ter vsemi obveznostmi organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in pravosodnih organov v zvezi s tem. Komisija je upoštevala tudi mnenje Evropskega nadzornika za varstvo podatkov in Evropskega odbora za varstvo podatkov.
Poleg tega je Komisija zagotovila, da so določbe Protokola in predlogi Komisije o elektronskih dokazih združljivi, tudi zato, ker se je osnutek zakonodaje razvijal med razpravami s sozakonodajalcema, Protokol pa ne povzroča kolizije zakonov. Komisija je zlasti zagotovila, da Protokol vključuje ustrezne zaščitne ukrepe za varstvo podatkov in zasebnosti, ki ponudnikom storitev iz EU omogočajo, da izpolnjujejo svoje obveznosti v skladu z zakonodajo EU o varstvu podatkov in zasebnosti, kolikor Protokol zagotavlja pravno podlago za prenose podatkov v odziv na naloge ali zahteve, ki jih izda organ, ki ni iz pogodbenice Protokola, ki je država članica EU, in ki od upravljavca ali obdelovalca EU zahteva razkritje osebnih podatkov ali elektronskih komunikacijskih podatkov.
2.4.Pridržki, izjave, obvestila in sporočila ter drugi premisleki
Protokol zagotavlja podlago za pogodbenice, da uveljavljajo nekatere pridržke in podajo izjave, uradna obvestila ali sporočila v zvezi z nekaterimi členi. Države članice bi morale sprejeti enoten pristop do nekaterih pridržkov in izjav, uradnih obvestil in sporočil, kakor je določeno v Prilogi k temu sklepu. Za zagotovitev skladnosti izvajanja Protokola s pravom Unije bi morale države članice EU v zvezi s temi pridržki in izjavami zavzeti spodaj navedeno stališče. Kadar Protokol zagotavlja podlago za druge pridržke, izjave, uradna obvestila ali sporočila, ta predlog pooblašča države članice, da preučijo in podajo svoje pridržke, izjave, uradna obvestila ali sporočila.
Da se zagotovi skladnost določb Protokola z ustreznim pravom in politikami Unije, države članice ne bi smele uveljavljati pridržkov v skladu s členom 7(9)(a) in (b). Poleg tega bi morale države članice podati izjavo v skladu s členom 7(2)(b) in uradno obvestilo v skladu s členom 7(5)(a). Neobstoj teh pridržkov ter predložitev izjave in uradnega obvestila so pomembni za zagotovitev združljivosti Protokola z zakonodajnimi predlogi Komisije o elektronskih dokazih, vključno z razvojem osnutkov zakonodajnih predlogov.
Poleg tega se države članice, da bi zagotovile enotno uporabo Protokola v državah članicah EU pri sodelovanju s pogodbenicami, ki niso države članice EU, spodbujajo, da ne uporabijo pridržka v skladu s členom 8(13), tudi zato, ker bi imel tak pridržek vzajemni učinek. Države članice bi morale podati izjavo v skladu s členom 8(4), da bi zagotovile, da se lahko nalogi izvršijo, če so potrebne dodatne podporne informacije, npr. o okoliščinah zadevnega primera, da se ocenita sorazmernost in nujnost.
Države članice se spodbujajo tudi, naj ne podajo izjave v skladu s členom 9(1)(b), da se zagotovi učinkovita uporaba Protokola.
Države članice bi morale podati sporočila v skladu s členom 7(5)(e), členom 8(10)(a) in (b), členom 14(7)(c) in členom 14(10)(b), da se zagotovi učinkovita uporaba Protokola na splošno.
Države članice bi morale sprejeti tudi potrebne ukrepe v skladu s členom 14(11)(c), da bi zagotovile, da je pogodbenica prejemnica ob prenosu obveščena o obveznosti v skladu s pravom Unije, da posameznika, na katerega se podatki nanašajo, uradno obvesti, in o ustreznih kontaktnih podatkih, da lahko pogodbenica prejemnica obvesti pristojni organ v državi članici EU, ko omejitve glede zaupnosti ne veljajo več in se lahko uradno obvestilo predloži.
2.5.Razlogi za predlog
Protokol začne veljati, ko pet pogodbenic v skladu z določbami odstavkov člena 16(1) in (2) izrazi soglasje, da jih Protokol zavezuje. Slovesnost ob podpisu protokola bo predvidoma marca 2022.
Države članice EU bi morale sprejeti potrebne ukrepe za zagotovitev hitrega začetka veljavnosti protokola, kar je pomembno s številnih vidikov.
Prvič, protokol bo zagotovil, da bodo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in pravosodni organi bolje opremljeni za pridobivanje elektronskih dokazov, potrebnih za kazenske preiskave. Glede na vse večji pomen elektronskih dokazov za kazenske preiskave je nujno, da imajo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in pravosodni organi prave instrumente za učinkovito pridobitev dostopa do elektronskih dokazov, da se zagotovi učinkovit boj proti kriminalu na spletu.
Drugič, protokol bo zagotovil, da se bodo taki ukrepi za pridobitev dostopa do elektronskih dokazov uporabljali tako, da bodo države članice lahko spoštovale temeljne pravice, vključno s kazenskimi procesnimi pravicami, pravico do zasebnosti in pravico do varstva osebnih podatkov. Ker na mednarodni ravni ni jasnih pravil, lahko obstoječe prakse pomenijo izziv v zvezi s pravno varnostjo, preglednostjo, odgovornostjo in spoštovanjem temeljnih pravic ter procesnih jamstev osumljencev v kazenskih preiskavah.
Tretjič, Protokol bo z zagotavljanjem združljivih pravil na mednarodni ravni za čezmejni dostop do elektronskih dokazov rešil in preprečil kolizije zakonov, ki vplivajo na organe in ponudnike storitev iz zasebnega sektorja ter druge subjekte.
Četrtič, Protokol bo izkazal, da je Konvencija še naprej pomembna kot glavni večstranski okvir za boj proti kibernetski kriminaliteti. To bo ključnega pomena v procesu po Resoluciji Generalne skupščine Združenih narodov (GSZN) 74/247 iz decembra 2019 z naslovom „Boj proti uporabi informacijskih in komunikacijskih tehnologij za kazniva dejanja“, s katero je bil ustanovljen odprt ad hoc medvladni odbor strokovnjakov za pripravo celovite mednarodne konvencije o preprečevanju uporabe informacijskih in komunikacijskih tehnologij v kriminalne namene.
3.PRAVNA PODLAGA, SUBSIDIARNOST IN SORAZMERNOST
·Pravna podlaga
Pristojnost Unije za sprejemanje zakonodaje v zadevah v zvezi z olajševanjem sodelovanja med pravosodnimi ali enakovrednimi organi v kazenskih postopkih in izvrševanjem odločb temelji na členu 82(1) PDEU. Pristojnost Unije na področju varstva osebnih podatkov temelji na členu 16 PDEU.
V skladu s členom 3(2) PDEU ima Unija izključno pristojnost za sklenitev mednarodnega sporazuma, kolikor lahko ta sklenitev vpliva na skupna pravila EU ali spremeni njihovo področje uporabe. Določbe Protokola spadajo na področje, ki ga v veliki meri urejajo skupna pravila, kot je navedeno v oddelku 2.3 zgoraj.
Protokol tako spada v izključno zunanjo pristojnost Unije. Države članice lahko Protokol v interesu Unije podpišejo na podlagi členov 16, 82(1) in 218(5) PDEU.
·Subsidiarnost (za neizključno pristojnost)
Ni relevantno.
·Sorazmernost
Cilje Unije v zvezi s tem predlogom, kakor so opredeljeni v oddelku 2.5 zgoraj, je mogoče doseči le s sklenitvijo zavezujočega mednarodnega sporazuma, ki določa potrebne ukrepe sodelovanja in hkrati zagotavlja ustrezno varstvo temeljnih pravic. Ta cilj je s Protokolom dosežen. Določbe Protokola so omejene na to, kar je potrebno za doseganje njegovih glavnih ciljev. Enostranski ukrepi ne predstavljajo alternative, saj ne bi zagotovili zadostne podlage za sodelovanje z državami, ki niso članice EU, in ne bi mogli zagotoviti potrebnega varstva temeljnih pravic. Poleg tega je upoštevanje večstranskega sporazuma, kot je Protokol, o katerem se je Unija lahko pogajala, učinkovitejše od začetka pogajanj s posameznimi državami, ki niso članice EU, na dvostranski ravni. Ob predpostavki, da bo vseh 66 pogodbenic, pa tudi bodoče nove pogodbenice Konvencije, ratificiralo Protokol, bo Protokol zagotovil skupni pravni okvir za sodelovanje držav članic EU v boju proti kriminalu z njihovimi najpomembnejšimi mednarodnimi partnerji.
·Izbira instrumenta
Ni relevantno.
4.REZULTATI NAKNADNIH OCEN, POSVETOVANJ Z DELEŽNIKI IN OCEN UČINKA
·Naknadne ocene/preverjanja primernosti obstoječe zakonodaje
·Posvetovanja z deležniki
Svet Evrope je julija in novembra 2018, februarja in novembra 2019 ter decembra 2020 in maja 2021 organiziral šest krogov javnih posvetovanj v zvezi s pogajanji o protokolu. Pogodbenice so prejete prispevke obravnavale kot del teh posvetovanj.
Komisija je v vlogi pogajalke v imenu Unije tudi izmenjala mnenja z organi za varstvo podatkov ter v letih 2019 in 2021 organizirala ciljno usmerjena posvetovalna srečanja z organizacijami civilne družbe, ponudniki storitev in trgovinskimi združenji. Komisija je upoštevala prispevek, ki ga je prejela od teh izmenjav.
·Zbiranje in uporaba strokovnih mnenj
Komisija se je med pogajanji dosledno posvetovala s posebnim odborom Sveta za pogajanja v skladu s Sklepom Sveta Evropske unije z dne 6. junija 2019 o pooblastitvi Komisije, da v imenu Unije sodeluje pri pogajanjih, kar je strokovnjakom držav članic omogočilo, da prispevajo k oblikovanju stališča Unije. V pogajanjih je poleg sodelovanja Komisije v imenu Unije še naprej sodelovalo tudi več strokovnjakov iz držav članic. Opravljena so bila tudi posvetovanja z deležniki (glej zgoraj).
·Ocena učinka
V obdobju 2017–2018 je bila izvedena ocena učinka, ki je bila priložena predlogom Komisije o elektronskih dokazih. V tem okviru so bila pogajanja o sporazumu o Drugem dodatnem protokolu k Budimpeški konvenciji o kibernetski kriminaliteti del prednostne možnosti. Pomembni učinki so poleg tega predstavljeni v tem obrazložitvenem memorandumu.
·Primernost in poenostavitev ureditve
Protokol lahko vpliva na nekatere kategorije ponudnikov storitev, vključno z malimi in srednjimi podjetji (MSP), saj so lahko predmet zahtev in nalogov za predložitev elektronskih dokazov v skladu s Protokolom. Vendar so ti ponudniki trenutno pogosto že predmet takih zahtev prek drugih obstoječih kanalov, ki včasih potekajo prek različnih organov, vključno na podlagi Konvencije, drugih pogodb o medsebojni pravni pomoči ali drugih okvirov, tudi politik več deležnikov na področju upravljanja interneta. Tudi ponudniki storitev, vključno z MSP, bodo imeli koristi od jasnega pravnega okvira na mednarodni ravni in skupnega pristopa vseh pogodbenic Protokola.
·Temeljne pravice
Instrumenti sodelovanja na podlagi Protokola bodo verjetno vplivali na temeljne pravice, kadar je podatke osebe mogoče pridobiti v okviru kazenskega postopka, vključno npr. na pravico do poštenega sojenja, pravico do zasebnosti in pravico do varstva osebnih podatkov. Protokol sledi pristopu, ki temelji na pravicah, ter določa pogoje in zaščitne ukrepe v skladu z mednarodnimi instrumenti o človekovih pravicah, tudi s Konvencijo Sveta Evrope o varstvu človekovih pravic in temeljnih svoboščin iz leta 1950. Protokol zlasti določa posebne zaščitne ukrepe za varstvo podatkov. Protokol po potrebi zagotavlja tudi podlago za pogodbenice, da izrazijo določene pridržke, izjave ali uradna obvestila, in vsebuje tudi razloge za zavrnitev sodelovanja v odgovor na zahtevo v posebnih okoliščinah. To zagotavlja skladnost protokola z Listino EU o temeljnih pravicah.
5.PRORAČUNSKE POSLEDICE
Predlog ne vpliva na proračun Unije. Države članice imajo lahko enkratne stroške za izvajanje Protokola, organi držav članic pa bi lahko imeli višje stroške zaradi pričakovanega povečanja števila primerov.
6.DRUGI ELEMENTI
·Načrti za izvedbo ter ureditev spremljanja, ocenjevanja in poročanja
Ni načrta za izvedbo, saj bodo morale države članice Protokol po njegovem podpisu in ratifikaciji izvajati.
Kar zadeva spremljanje, bo Komisija sodelovala na sestankih Odbora za Konvencijo o kibernetski kriminaliteti, v katerem je Evropska unija priznana kot opazovalna organizacija.
2021/0382 (NLE)
Predlog
SKLEP SVETA
o pooblastitvi držav članic, da v interesu Evropske unije podpišejo Drugi dodatni protokol h Konvenciji o kibernetski kriminaliteti, ki obravnava okrepljeno sodelovanje in razkritje elektronskih dokazov
SVET EVROPSKE UNIJE JE –
ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16 ter členov 82(1) in 218(5) Pogodbe,
ob upoštevanju predloga Evropske komisije,
ob upoštevanju naslednjega:
(1)Svet je 9. junija 2019 pooblastil Komisijo, da v imenu Unije sodeluje pri pogajanjih o Drugem dodatnem protokolu h Konvenciji Sveta Evrope o kibernetski kriminaliteti.
(2)Odbor ministrov Sveta Evrope je 17. novembra 2021 sprejel besedilo Drugega dodatnega protokola h Konvenciji o kibernetski kriminaliteti, ki obravnava okrepljeno sodelovanje in razkritje elektronskih dokazov (v nadaljnjem besedilu: Protokol), ki naj bi bilo na voljo za podpis marca 2022.
(3)Določbe Protokola spadajo na področje, ki ga v veliki meri urejajo skupna pravila v smislu člena 3(2) PDEU, vključno z instrumenti, ki olajšujejo pravosodno sodelovanje v kazenskih zadevah, zagotavljanjem minimalnih standardov procesnih pravic ter varstvom podatkov in zasebnosti.
(4)Komisija je predložila tudi zakonodajna predloga za uredbo o evropskem nalogu za predložitev in evropskem nalogu za zavarovanje elektronskih dokazov v kazenskih zadevah (COM(2018) 225 final) in direktivo o določitvi harmoniziranih pravil o imenovanju pravnih zastopnikov za namene zbiranja dokazov v kazenskih postopkih (COM(2018) 226 final), s čimer se uvajajo zavezujoči čezmejni evropski nalogi za predložitev in zavarovanje dokazov, ki se naslovijo neposredno na predstavnika ponudnika storitev v drugi državi članici.
(5)Komisija je s sodelovanjem pri pogajanjih v imenu Unije zagotovila skladnost Drugega dodatnega protokola z ustreznimi skupnimi pravili Evropske unije.
(6)Za zagotovitev skladnosti protokola s pravom in politikami Unije, pa tudi enotne uporabe Protokola v državah članicah EU pri njihovih odnosih s pogodbenicami, ki niso članice EU, in učinkovite uporabe Protokola je pomembnih več pridržkov, izjav, uradnih obvestil in sporočil.
(7)Ker Protokol določa hitre postopke za izboljšanje čezmejnega dostopa do elektronskih dokazov in visoko raven zaščitnih ukrepov, bo začetek njegove veljavnosti prispeval k boju proti kibernetski kriminaliteti in drugim oblikam kriminala na svetovni ravni prek olajševanja sodelovanja med pogodbenicami Protokola, ki so države članice EU, in tistimi, ki to niso, zagotovil visoko raven varstva posameznikov in obravnaval kolizije zakonov.
(8)Ker Protokol določa ustrezne zaščitne ukrepe v skladu z zahtevami za mednarodne prenose osebnih podatkov na podlagi Uredbe (EU) 2016/679 in Direktive (EU) 2016/680, bo začetek njegove veljavnosti prispeval k promociji standardov Unije za varstvo podatkov na svetovni ravni, olajšal pretok podatkov med pogodbenicami Protokola, ki so države članice EU, in tistimi, ki to niso, ter zagotovil, da države članice EU izpolnjujejo svoje obveznosti v skladu s pravili Unije o varstvu podatkov.
(9)S hitrim začetkom veljavnosti bo potrjen tudi položaj Budimpeške konvencije Sveta Evrope kot glavnega večstranskega okvira za boj proti kibernetski kriminaliteti.
(10)Evropska unija ne more postati pogodbenica Protokola, saj je pristop tako k Protokolu kot h Konvenciji Sveta Evrope o kibernetski kriminaliteti odprt samo državam.
(11)Države članice bi bilo zato treba pooblastiti, da podpišejo Protokol, pri čemer ravnajo skupaj v interesu Evropske unije.
(12)Države članice se spodbujajo, da Protokol podpišejo na slovesnosti ob podpisu ali čim prej po tem.
V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Svetaje bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal ...
(14)[V skladu s členoma 1 in 2 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, in brez poseganja v člen 4 tega protokola Irska ne sodeluje pri sprejetju tega sklepa, ki zato zanjo ni zavezujoč in se v njej ne uporablja.]
[ALI]
V skladu s členoma 1 in 2 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, in brez poseganja v člen 4 tega protokola je Irska [z dopisom z dne …] podala uradno obvestilo, da želi sodelovati pri sprejetju in uporabi tega sklepa.]
(15)V skladu s členoma 1 in 2 Protokola št. 22 o stališču Danske, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, Danska ne sodeluje pri sprejetju tega sklepa, ki zato zanjo ni zavezujoč in se v njej ne uporablja –
SPREJEL NASLEDNJI SKLEP:
Člen 1
Države članice so pooblaščene, da v interesu Evropske unije podpišejo Drugi dodatni protokol h Konvenciji o kibernetski kriminaliteti, ki obravnava okrepljeno sodelovanje in razkritje elektronskih dokazov.
Člen 2
Države članice ob podpisu Protokola izrazijo pridržke, izjave, uradna obvestila ali sporočila iz Priloge.
Člen 3
Ta sklep začne veljati na dan sprejetja.
Člen 4
Ta sklep se objavi v Uradnem listu Evropske unije.
Člen 5
Ta sklep je naslovljen na države članice.
V Bruslju,