28 травня 2025 року Європейський суд з прав людини виніс рішення у справі Pietrzak and others v Poland, яке стосується оскарження польського законодавства у контексті здійснення заходів таємного стеження. Скаржниками є громадяни Польщі, серед яких юрист та представники громадських організацій. Посилаючись на статтю 8 Конвенції, вони скаржились, що польське законодавство, яке встановлює таємний моніторинг комунікацій та подальший збір метаданих, порушує їх право на приватність. Крім того, вони оскаржували відсутність належних правових засобів захисту за статтею 13 Конвенції, які дозволили б перевірити, чи підлягали скаржники спостереженню, а також оцінити легітимність таких засобів.
ЄСПЛ визнав порушення статей 8 та 13 Конвенції в контексті оскаржуваного законодавства. Суд зауважив, що нечіткі формулювання положень національного закону надали правоохоронним органам широкий обсяг повноважень, що призвело до застосування заходів стеження без належних підстав, а також несанкціонованого прямого доступу до отриманих даних. ЄСПЛ визнав, що заявники не мали належних гарантій захисту власних прав з огляду на відсутність контрольного механізму за уповноваженими субʼєктами.
Який закон оскаржували заявники?
У 2016 році польський парламент прийняв зміни до Закону про Поліцію (надалі – Закон) та інших актів, а також Закон про Запобігання Тероризму. При цьому всі законодавчі положення встановлюють аналогічну систему стеження, а Закон про Поліцію виступає зразком для інших. Згідно з Законом, таємне стеження здійснюється для запобігання кримінальних правопорушень, проте інші легітимні цілі можуть бути передбачені у профільних законах уповноважених органів. Крім того, польський режим таємного стеження покриває оперативний контроль та збереження комунікаційних даних (включаючи телекомунікаційні, поштові та цифрові комунікаційні дані) для їх можливого подальшого використання національними органами.
Оперативний контроль у контексті Закону фактично означає здійснення негласних розшукових дій, які включають, зокрема, прослуховування телефонних розмов, звукозаписи, запис компʼютерних даних тощо. За Законом, оперативний контроль здійснюється за попереднім рішенням суду на основі письмового запиту від керівника поліції, у якому йдеться про обставини, які виправдовують використання оперативного контролю, фактичні елементи, що стосуються правопорушення, місце проведення та засоби, за допомогою яких він здійснюватиметься.
Загальний період здійснення заходів стеження не може перевищувати 3 місяців. Такий період може бути продовжено рішенням суду разом із письмовим дозволом прокурора ще на 3 місяці за наявності обґрунтованих причин. Максимальна загальна тривалість безперервного стеження — 12 місяців. Загальна тривалість стеження не може перевищувати 18 місяців. Важливо підкреслити, що в термінових випадках (особливо за ризику втрати інформації або зміни доказів), поліція може здійснювати таємне стеження без попереднього судового дозволу. Його можна отримати протягом наступних 5 днів. Протягом здійснення заходів оперативного контролю таргетована особа не може мати доступу до будь-яких зібраних даних про її комунікації.
За Законом, поліція може зберігати комунікаційні дані з метою запобігання або виявлення злочинної діяльності, порятунку людських життів чи захисту здоров’я або для проведення пошуково-рятувальних операцій. При цьому доступ до таких даних не дозволяє знати зміст приватних повідомлень — тобто зберігають лише метадані. Вони включають, серед іншого, інформацію щодо здійснених або отриманих телефонних дзвінків, набраних номерів, тривалості дзвінків, географічного розташування мобільних пристроїв у будь-який момент часу, відвіданих веб-сайтів, з’єднань із сайтами, персональних налаштувань та адреси електронної пошти. Обробка цих даних здійснюється без відома особи та її згоди. Згідно з Законом, провайдери послуг зобов’язані надати компетентним органами вільний доступ до відповідних даних на основі конфіденційних угод.
Оскільки законодавчі нововведення суттєво розширили дискрецію національних органів щодо здійснення заходів спостереження, а також підстави для здійснення таємного стеження за комунікаціями користувачів, закони викликали хвилю критики з боку громадянського суспільства.
З огляду на це заявники звернулись до відділів поліції, розвідки та інших уповноважених органів зі скаргами щодо правомірності положень. Зокрема, вони наголосили, що Закон дозволяє уповноваженим субʼєктам моніторити їх телекомунікації та збирати дані без відому скаржників. Вони також вважали високо ймовірним те, що за скаржниками могли здійснювати стеження з огляду на їх професійну та публічну діяльність. Заявники отримали відповіді від більшості органів, аргументи яких звелись до двох основних пунктів:
- Закон в принципі не вимагає від органів, уповноважених на здійснення заходів стеження, повідомляти субʼєктів даних про такі заходи, у тому числі після їх завершення (за винятком випадку, коли отримана інформація буде використана у кримінальному провадженні);
- уповноважені органи не можуть підтвердити або спростувати інформацію щодо здійснення стеження за заявниками з огляду на конфіденційність засобів та методів таких заходів.
Звертаючись до ЄСПЛ, заявники стверджували, що положення національних законів, які регулюють механізм стеження, порушують їх право на приватність, а власне заявники не мають належних засобів правового захисту для встановлення факту здійснення над ними заходів стеження і, як наслідок, оскарження правомірності таких заходів.
Позиція ЄСПЛ
Передовсім ЄСПЛ розглянув питання щодо наявності статусу потерпілого у заявників, який оскаржував уряд. Оскільки національне законодавство передбачає широкий список правопорушень, для запобігання яких можна звертатися до заходів стеження, Суд вважає, що будь-яка особа може бути під таргетуванням, враховуючи таємний спосіб стеження для досягнення відповідних цілей. Таким чином, перехоплення комунікацій може відбуватися щодо будь-якого користувача телекомунікаційних послуг та Інтернету. У контексті антитерористичного закону Суд вказав, що хоча положення стосуються лише іноземних громадян, підозрюваних у терористичній діяльності, комунікація будь-якої особи, яка контактувала з цими громадянами, може бути опосередковано контрольована, незалежно від здійснення нагляду за цією особою.
У цьому випадку ЄСПЛ вирішив проаналізувати національне законодавство in abstracto, тому заявникам не потрібно доказувати, що вони знаходяться під ризиком таємного стеження з огляду на їх персональні ситуації.
Крім того, Суд визнав наявність втручання у приватне життя заявників з огляду на існуючу систему таємного стеження. При цьому ЄСПЛ встановив, що таке втручання відповідає критеріям передбачуваності законом та переслідує легітимну мету, зокрема, запобігання злочинам та захист національної безпеки. Суд перейшов до аналізу критерію необхідності втручання у демократичному суспільстві. Для цього ЄСПЛ виокремив основні режими, що потребують оцінки, серед яких: (1) режим оперативного контролю; (2) збереження комунікаційних даних для подальшого використання; (3) стеження як захід протидії тероризму.
Режим оперативного контролю
ЄСПЛ вирішив оцінити передовсім ефективність наявних гарантій для захисту від зловживань національними органами. Посилаючись на рішення Roman Zakharov v Russia, Суд взяв до уваги такі фактори для оцінки виправданості втручання:
1. Обсяг таємного спостереження. ЄСПЛ наголосив, що обсяги застосування заходів таємного стеження були сформульовані у широких термінах у національному законі. Наприклад, законодавці дозволили стеження для запобігання широкому списку злочинів, включаючи незначні правопорушення. Крім того, закон не деталізує, які особи можуть підлягати стеженню, фактично надаючи можливість уповноваженим органам таргетувати будь-яку особу або групу, якщо отримана інформація буде корисною для досягнення легітимних цілей.
2. Тривалість заходів таємного спостереження. Суд вказав, що оскарження тривалості заходів стеження відкрито до подальшого обговорення, оскільки національний закон чітко зазначає про максимальний період, після якого заходи припиняються, а також обставини, за яких дозвіл на стеження може бути поновлено.
3. Дозвіл на перехоплення. Для оцінки цього фактору Суд взяв до уваги компетентний орган, що уповноважує на стеження, обсяг аналізу, який цей орган здійснює, та власне зміст дозволу на перехоплення. Хоча національний закон дозволяє звернення до заходів стеження лише у випадках необхідності, ЄСПЛ наголосив на прогалині в національному законодавстві, оскільки орган, який уповноважує на здійснення стеження (у поточній справі — компетентний суд), повинен належним чином перевірити наявність «обґрунтованої підозри» щодо таргетованої особи, як-от: дослідити наявність будь-яких індикаторів, що дозволяють підозрювати особу в плануванні або вчиненні злочину. Більше того, національний закон не деталізує вміст дозволу на перехоплення, а також не вимагає суд обґрунтовувати своє рішення щодо того, що перехоплення в даному випадку буде правомірним, необхідним та виправданим.
Суд також підкреслив, що застосування термінового дозволу, який не вимагає рішення суду, є виправданим лише за умови ризику втрати доказів, а не тяжкості правопорушення. У цьому випадку національні органи можуть на власний розсуд визначати, у яких ситуаціях варто вдаватися до позасудової надзвичайної процедури, що створює загрозу зловживання відповідним механізмом.
4. Процедури, яких слід дотримуватися щодо збереження, консультацій, вивчення, використання, передачі та знищення перехоплених даних. Суд визнав, що положення, які регулюють механізм обробки та знищення інформації, гарантують захист збережених даних. Водночас ЄСПЛ висловив занепокоєння, що видалення збереженої інформації покладається на посадових осіб, які уповноважені здійснювати стеження, а механізм знищення даних не підлягає зовнішньому незалежному контролю.
5. Положення, що стосуються моніторингу комунікацій, які становлять професійну таємницю. ЄСПЛ нагадав, що стаття 8 Конвенції захищає конфіденційність будь-якої кореспонденції, проте надає додаткові гарантії захисту обміну інформацією між адвокатами та їх клієнтами, що охоплюється професійною таємницею адвоката. При цьому ЄСПЛ наголосив, що варто розрізняти види такої таємниці: допоки адвокати користуються абсолютною професійною таємницею, інші види підлягають меншій охороні секретності, як-от інформація нотаріусів, податкових радників або журналістів. Крім того, Конвенція не забороняє встановлення заходів стеження над комунікаціями між увʼязненим та його юристом. Проте такий захід повинен застосовуватися лише у виняткових випадках з огляду на прямий вплив на права увʼязненого.
У поточній справі субʼєкти, уповноважені на стеження, після збору даних на власний розсуд вирішують, що робити з нерелевантними даними. ЄСПЛ підкреслив, що рішення щодо майбутнього інформації, яка охоплюється професійною таємницею, повинно бути доручено не державним службовцям, які зібрали таку інформацію, а зовнішньому та незалежному органу, наприклад магістрату. Суд зазначив, що «… якщо механізм відбору контенту, що охоплюється професійною адвокатською таємницею, міг призвести до знищення конфіденційної інформації, це не перешкодило державним службам, які здійснюють таємне стеження, дізнатися про зазначений охоронюваний контент» (пункт 223 рішення).
6. Контроль за застосуванням заходів таємного спостереження. Згідно з ЄСПЛ, фактори, необхідні для оцінки ефективності такого контролю, включають: (1) незалежність наглядового органу, його повноваження щодо порушень (право на доступ до всіх матеріалів та вжиття заходів для усунення порушень, особливо наказ на знищення незаконно перехоплених даних), та (2) відкриття права громадського контролю за діяльністю наглядового органу.
У поточній справі контрольні функції були покладені здебільшого на суд, а також на прокурорів, сейм, парламентський комітет та Вищу контрольну палату. Крім того, міністр внутрішніх справ зобовʼязаний щорічно подавати до парламенту звіт про здійснене стеження, проведене поліцією. ЄСПЛ заключив, що функції цих органів у сфері нагляду були обмеженими, особливо враховуючи те, що жоден з органів не уповноважений зупинити неправомірне перехоплення або наказати знищити незаконно перехоплені дані. Суд також вказав, що звітна практика не може замінити контроль незалежного органу за конкретним випадком стеження, який інституційно не привʼязаний до правоохоронних органів або розвідувальних служб.
7. Повідомлення про стеження за комунікаціями та доступні засоби правового захисту. У контексті засобів правового захисту Суд підкреслив, що особу, над якою здійснюється стеження, слід проінформувати про це після завершення заходів для того, щоб вона могла бути залучена у моніторинг за цими заходами. Практика Суду щодо того, які засоби правового захисту є ефективними, залишається неоднозначною та залежить від обставин конкретної справи. Однак у поточній справі ЄСПЛ послався на рішення польського Конституційного суду, який підтвердив наявність законодавчої прогалини, що суперечить національній Конституції: допоки Конституція гарантує право на доступ до офіційних документів та баз даних щодо відповідної особи та право на видалення інформації, такі права не надаються субʼєктам даних у контексті здійснення над ними заходів стеження.
ЄСПЛ не погодився з аргументами уряду щодо того, що заявники не вичерпали всіх форм правового захисту, зокрема, скарг до судових інстанцій та діалогу з національними органами. Суд вказав, що заявники безуспішно апелювали до судів, а оскарження рішень щодо діяльності поліції та розвідувальних служб, найімовірніше, було б приречене на невдачу з огляду на послідовну прецедентну практику Вищого адміністративного суду, за якою інформація, зібрана за допомогою негласних заходів, підлягає захисту, подібному до захисту секретних даних, а тому не може бути розголошена.
Зберігання комунікаційних даних для можливого доступу компетентних національних органів
ЄСПЛ вказав, що втручання у приватність заявників випливає зі збереження комунікаційних даних без відома зацікавленої особи, а також подальшого доступу уповноважених органів до цих даних — факторів, які слід проаналізувати окремо.
По-перше, Суд підкреслив, що у поточній справі провайдери зобовʼязані зберігати дані стосовно, зокрема, здійснених або отриманих телефонних дзвінків, набраних номерів, тривалості дзвінків, географічного розташування мобільних пристроїв, відвіданих веб-сайтів та адреси електронної пошти. Враховуючи 12-місячний термін зберігання даних та розмиті законодавчі формулювання, ЄСПЛ зауважив, що уповноважені субʼєкти мають можливість отримати постійний та прямий доступ до відповідних даних будь-коли та без будь-якого втручання та відома з боку операторів телекомунікацій (в силу конфіденційних договорів). Враховуючи серйозність втручання, Суд зазначив, що національний закон повинен містити гарантії проти зловживань у контексті збереження даних. Беручи до уваги практику Конституційного суду, який порушував питання якості польського закону, ЄСПЛ вказав, що оскаржуваний закон, який вимагає загального збереження даних усіх користувачів комунікаційних послуг, суттєво впливає на осіб, які навіть опосередковано не знаходяться в ситуації, що призводить до кримінального переслідування. Крім того, Суд зауважив, що навіть якщо доступ уповноважених субʼєктів до зібраних даних супроводжується ретроспективним судовим наглядом, таких гарантій недостатньо, щоб визнати їх відповідність вимогам статті 8 Конвенції. По-друге, Суд вказав, що якщо механізм збереження комунікаційних даних не відповідає вимогам «якості права» та принципу пропорційності, то доступ до таких даних аналогічно суперечить положенням статті 8 Конвенції.
Режим таємного спостереження антитерористичного закону
Згідно з польським законодавством, працівники Агентства Національної Безпеки (надалі — Агентство) можуть використовувати таємне стеження щодо іноземних громадян, підозрюваних у терористичній діяльності. Хоча Суд визнав, що такі заходи слугують захисту національної безпеки, ЄСПЛ наголосив, що держави не мають необмеженої свободи щодо здійснення заходів таємного стеження. «Усвідомлюючи притаманну такому закону небезпеку підриву або навіть знищення демократії заради її захисту, він [Суд] знову підтверджує, що вони [Договірні Держави] не можуть вживати в ім’я боротьби зі шпигунством та тероризмом будь-які заходи, які вони вважають доцільними. Таким чином, незалежно від обраної системи стеження, Суд повинен переконатися в наявності відповідних та достатніх гарантій проти зловживань» (пункт 267 рішення). Крім того, ЄСПЛ підкреслив, що обсяг національного закону на практиці є ширшим, оскільки дозволяє національним органам моніторити комунікації будь-якої особи, яка контактує з таргетованою особою, незалежно від того, чи здіснюються над нею заходи стеження.
Говорячи про законодавчі формулювання, Суд загалом не зобовʼязує законотворців перечислювати всі ситуації, у яких держава може звертатися до таємного стеження. Водночас у контексті терористичної загрози закон повинен визначати обсяг та способи здійснення відповідних повноважень з достатньою ясністю — беручи до уваги законну мету, що переслідується — щоб забезпечити особі належний захист від зловживань.
«З цього приводу він [Суд] наголошує, що, враховуючи особливий характер втручання, про яке йдеться, та потенціал передових технологій спостереження порушувати приватність громадян, захід таємного спостереження не можна вважати таким, що відповідає Конвенції, лише якщо це суворо необхідно, як загальне міркування, для захисту демократичних інститутів і, як окреме міркування, для отримання важливої інформації в контексті окремої операції. На думку Суду, будь-яке стеження, яке не відповідає цим критеріям, може бути предметом зловживання з боку влади, яка має у своєму розпорядженні величезні технології» (пункт 272 рішення).
ЄСПЛ також заключив відсутність належного наглядового механізму за заходами стеження. Згідно з фактами справи, уповноважені субʼєкти можуть таємно моніторити іноземну особу протягом 3 місяців без попереднього судового дозволу на основі Закону про поліцію (враховуючи терміновість терористичної загрози). Аналогічно спостереження може здійснюватися і за попереднього дозволу голови Агентства, який у свою чергу звітує Генеральному Прокурору та міністру Держспецзвʼязку. Суд зауважив, що нагляд, який здійснюється членом виконавчої гілки з політичними обовʼязками та публічного офісу прокурора, не може гарантувати незалежність контрольного механізму, а тому не наділяє субʼєктів даних належними гарантіями проти зловживань.
Таким чином, проаналізувавши вищезгадані факти поточної справи, ЄСПЛ заключив, що положення польського законодавства у контексті заходів таємного спостереження не відповідають вимогам статті 8 Конвенції.
Значення рішення для України
Цей прецедент ЄСПЛ слугує орієнтиром як для українських національних органів правопорядку, так і законотворців з огляду на те, що Україна не має універсального закону щодо застосування заходів стеження. Аналогічно до польського регулювання, українське законодавство уповноважує субʼєктів здійснювати стеження здебільшого в контексті розслідування та кримінального провадження на основі окремих законів. Зокрема, правоохоронні органи уповноважені здійснювати негласні слідчі (розшукові) дії, поліція може отримувати дані з інформаційно-комунікаційних систем без попереднього судового дозволу, а СБУ — створювати власні інформаційні системи в інтересах контррозвідки.
Положення українських законів віддзеркалюють проблеми, про які зазначає і ЄСПЛ у своєму рішенні, серед яких відсутність належних гарантій субʼєктів даних для захисту від зловживань, які виявляються у неналежному наглядовому механізмі та неефективних засобах захисту для оскарження легітимності втручання. Лабораторія цифрової безпеки свідома того, що під час воєнного стану можуть діяти додаткові обмеження на право на приватність. Втім, перелічені повноваження залишатимуться чинними і після української перемоги, що, ймовірніше за все, суперечитиме позиції ЄСПЛ та загальним стандартам у сфері захисту прав людини.