vir: podcrto.si
Celotna zgodba je javnosti prvič postala znana pred tremi leti, ko je Edward Snowden razkril vseobsežno spremljanje komunikacij na svetovni ravni, v katero je vključena tudi nemška tajna služba BND (Bundesnachrichtendienst). Nemška vlada je želela to po hitrem postopku pomesti pod preprogo, Informacijski komisar (Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit), v tistem času Peter Schaar, pa se ni dal. Svoje inšpektorje je poslal na obisk v postojanko BND in NSA v Bad Aiblingu na jugu Nemčije. Obisk je rezultiral v poročilu, ki pa je označeno kot strogo zaupno in s tem dostopno le izbrancem.
Po menjavi na vrhu Informacijskega komisarja je nova komisarka Andrea Voßhoff pripravila analizo in jo poslala koordinatorju tajnih služb v uradu kanclerja, vendar je tudi ta analiza zaupne narave. Nemški mediji so to poročilo zahtevali na podlagi nemškega zakona o dostopu do informacij javnega značaja, vendar so jih zavrnili. Ko so se mediji začeli spraševati, ali je analiza tajna, ker je rezultat sramoten, so oblasti popustile in jo objavile.
Ugotovitve? 18 resnih kršitev, 12 uradnih pritožb.
Poročilo je sramotno za BND in urad kanclerja, se strinjajo v Nemčiji. Informacijski komisar na 60 straneh poročila našteje 18 resnih kršitev zakonodaje in 12 formalnih prijav. Takšna “prijava” je po nemškem pravu najmočnejše orodje komisarja, na katero se državni organi morajo odzvati. To je bilo prvič, da je en državni organ prejel toliko prijav, ponavadi jih toliko izdajo v enem letu vsem organom skupaj. V nadaljevanju predstavljamo najpomebnejše ugotovitve v poročilu.
BND je med drugim nezakonito in masovno preprečevala moja nadzorstvena pooblastila v več primerih. Celovit in učinkovit nadzor ni bil mogoč.
V nasprotju z izrecno zakonsko obveznostjo je BND ustvarila sedem zbirk podatkov brez veljavne pravne podlage in jih uporabljala (več let), in s tem zanemarila temeljno načelo zakonitosti. Skladno z veljavno zakonodajo je treba podatke shranjene v teh zbirkah nemudoma izbrisati. Ne sme se jih več uporabljati.
Kljub temu, da je bila ta preiskava usmerjena na postojanko BND v Bad Aiblingu, sem našel resne kršitve, ki so izrednega pomena in se nanašajo na jedrna področja delovanja BND. BND je zbirala osebne podatke brez pravne podlage in jih je sistematično obdelovala. BNDjeve navedbe, da so ti podatki ključnega pomena ne morejo nadomestiti manjkajoče pravne podlage. Omejitve temeljnih pravic morajo vedno imeti podlago v zakonu.
Nemško ustavno pravo se uporablja tudi za osebne podatke, ki jih je BND zbrala v tujini in obdelovala doma. Te ustavne omejitve mora BND strogo spoštovati.
BND pa deluje tudi globalno.
V postojankah BND v Schöningenu, Rheinhasenu, Bad Aiblingu in Gablingenu se obdelujejo metapodatki, ki pokrivajo ves svet, približno 220 milijonov podatkovnih točk vsak dan.
Nezakonite zbirke je treba zbrisati, so jasni Nemci.
BND je v nasprotju s zakonskimi določbami, t.j. nezakonito, ustvarila več zbirk podatkov (VERAS 4, VERAS 6, XKEYSCORE, TND, SCRABBLE, INBE, DAFIS), brez pravne podlage in brez zakonsko določenega posvetovanja z Informacijskim komisarjem. BND je v te zbirke shranila obsežne osebne podatke in jih obdelovala, ne da bi upoštevala pogoje, ki bi morali biti določeni v vsakem posameznem predpisu za vzpostavitev, predvsem definiranje namena zbirke. To so resne kršitve.
XKeyScore - pregledovanje vsega internetnega prometa povsod po svetu
Ena izmed zgoraj navedenih zbirk je je del zloglasnega orodja NSA XKeyScore - Google iskalnika za NSA, ki zbira skoraj vse, kar uporabnik dela na internetu.
BND uporablja XKEYSCORE za zbiranje SIGINT (Signals Inteligence), kot tudi za analizo SIGINT ter shranjuje oboje, metapodatke in vsebino komunikacij z uporabo XKEYSCORE - brez pravne podlage.
Za razliko od nemške domače tajne službe, Zveznega urada za zaščito ustave, ki XKEYSCORE domnevno uporablja za “offline” analize že zbranih podatkov, BND XKEYSCORE uporablja za masivno zbiranje SIGINT, neposredno na internetnih vozliščih in optičnih vlaknih.
Za zbiranje SIGINT, t.j. kot tako imenovani front-end sistem, XKEYSCORE - z uporabo prosto definiranih in povezljivih selektorjev s celotnega internetnega prometa s vsega sveta, t.j. vse meta in vsebinske podatke vsebovane v internetnem prometu in shranjuje izbrane internetne prometne podatke (e-pošto, pogovore, vsebino javnih socialnih omrežij, kot tudi z nejavnih - torej tistih, ki jih normalni uporabniki ne vidijo - sporočila v spletnih forumih in podobno) in s tem tudi vse osebe, ki se pojavljajo v tem internetnem prometu (pošiljatelj, prejemnik, člani spletnih forumov, člani socialnih omrežij itd.). V realnem času XKEYSCORE pripravi te podatke - pripisane k uporabniku - za agentovo branje in analizo.
In podatki se seveda ne nanašajo samo na teroriste, pač pa tudi na povsem običajne ljudi:
Zaradi svojega asistematičnega koncepta XKEYSCORE - nesporno - zbira tudi veliko osebnih podatkov neoporečnih oseb. BND ne more oceniti njihovega števila. V enem primeru, ki sem ga preveril je bilo razmerje 1:15, t.j. za eno ciljano osebo, so se zbrali in shranili podatki še za 15 neoporečnih oseb, kar je bilo - nesporno - nepotrebno za delo BND.
Zbiranje in obdelava teh podatkov sta resni kršitvi zakona o BND.
Te kršitve ustavnih pravic so se izvajale brez pravnega temelja in so s tem škodovale ustavni pravici do informacijskega samoodločanja neoporečnih oseb. Še več, te kršitve ustavnih pravic so rezultat neprimerno - in s tem tudi nesorazmerno - velikega obsega teh ukrepov, t.j. neprimerno velikega obsega nadzorov nad neoporečnimi osebami.
Ne samo, da BND krši zakonodajo s tem, da uporablja XKEYSCORE, ampak glede na dogovor “podatki v zameno za programsko opremo” - tudi prenese vse podatke NSA:
Vsebina metapodatkov zbranih z XKEYSCORE se po avtomatski odobritvi skladno z pravili G-10 (ocena G-10) prenese k NSA. Ti prenosi so dodatne resne kršitve temeljnih pravic.
Vendar pa “avtomatska ocena G-10” ne deluje. BND podobno kot naša SOVA ne sme
Informacijski komisar je pri tem našel sistemske pomanjkljivosti.
Filter DAFIS ne zazna in filtrira popolnoma podatkov posameznikov, ki jih ščiti 10. člen ustave. S tem BND - v nasprotju z obveznostmi G-10 - obdeluje osebne podatke teh oseb in je nezakonito posegala v komunikacijo, ki je zaščitena z 10. členom ustave.
Na južni strani Alp pa ...
Slovenski pravni red je soroden nemškemu. Svoboščine v zvezi z zasebnostjo so pri nas urejene podobno kot v Nemčiji. Sova deluje po Zakonu o Sovi, njene naloge so podobne tistim, ki jih ima BND, in ni presenetljivo, da zanjo veljajo podobne omejitve kot za BND.
Tudi Sova spremlja mednarodne sisteme zvez, za to pa skladno z določbami 21. člena ZSOVA potrebuje (podobno kot BND) odredbo. Vemo tudi, da je Sovino spremljanje mednarodnih sistemov zvez “strateško” in da se izvaja tako, da ima na vseh večjih mednarodnih vozliščih urejen t.i. port mirroring v ključnih omrežnih usmerjevalnikih oziroma je priključena na ključne optične kable preko katerih so slovenska telefonska in internetna omrežja povezana v tujino. Tako dobijo kopijo vsega prometa, ki gre čez Slovenijo.
Da je takšno strateško spremljanje telekomunikacij protipravno, je odločilo že Evropsko sodišče za človekove pravice v primerih Zakharov proti Rusiji ter Szabó in Vissy proti Madžarski. Bolj podrobno smo o tem že pisali.
Pravo vprašanje pa je, ali Sova za analizo podatkov uporablja XKEYSCORE in ali podatke podobno kot BND posreduje NSA. Oziroma - glede na to, da Sova in BND že od nekdaj tesno sodelujeta - ali podatke posredujejo BND? Tukaj se lahko spomnimo fiaska z razkritimi lokacijami na Bavarskem dvoru in Malem trgu v Ljubljani, kjer sta obe službi lovili vojne zločince na Balkanu.
Zakon o Sovi namreč kot edino zbirko podatkov, ki jo vodi Sova, določa zbirko podatkov o osebah, ki jih agencija sistematično operativno obravnava v določenem časovnem obdobju, ki se nanaša na zbirko evidenc in zadev (14. člen ZSOVA). Kakršnakoli druga zbirka, kot ta, ki je določena v zakonu, bi bila nezakonita. SOVA se sicer pretežno ukvarja sama s sabo, vendar vseeno domnevno včasih kaj naredi, zaradi česar je malo verjetno, da ne bi razpolagali še s kakšno drugo zbirko (osebnih podatkov).
Tu bi svojo vlogo moral odigrati naš Informacijski pooblaščenec, ki ima vsa potrebna pooblastila.
Vse kar je do sedaj naredil v zvezi s tem je, da je vprašanje 21. člena ZSOVA spravil pred Ustavno sodišče. To je predlog IP zavrglo, ker pooblaščenec ni imel pravnega interesa za pobudo, in se do zakona ni vsebinsko opredelilo. Ustavni sodnik Ciril Ribičič je v ločenem mnenju sicer zapisal, da bi po njegovem mnenju vsebino bilo treba obravnavati in da bi v tem primeru zakon najbrž padel. Da bi pooblaščenec zoper Sovo dejansko odprl inšpekcijski postopek in si tako ustvaril pravni interes za postopek pred US, pa verjetno ni pričakovati.
Ob vseh razkritjih iz Snowdnovih dokumentov in vsak dan novih podatkih o kršitvah zasebnosti se sprašujemo, zakaj Informacijski pooblaščenec ne opravi podobnega inšpekcijskega pregleda Sove, kot ga je nemški Informacijski komisar opravil v BND. Glede na povezanost služb in njuno sodelovanje je po vsej verjetnosti podoben tudi modus operandi. Verjetno bi podobne kršitve kot so jih ugotovili Nemci, našli tudi pri nas.