Dyrektywa E-evidence zagraża całej branży software’owej — zaprotestuj razem z nami!

Komisja Europejska chce zaszkodzić niezależnym producentom oprogramowania. Mocne stwierdzenie, prawda? Z takim jednak właśnie przesłaniem zwróciło się do nas stowarzyszenie The App Association, przypominając o Dyrektywie E-Evidence, która niebawem może sparaliżować pracę takich firm jak nasza w całej Unii Europejskiej. Chodzi o ten nowy instrument prawny, który pozwoli zmusić dostawców chmur, operatorów poczty elektronicznej i producentów aplikacji mobilnej do wydania prokuraturze i policji danych użytkowników — i to w ciągu sześciu godzin.
Wydaj szybko dane swoich użytkowników
Proponowany europejski nakaz wydania danych ma umożliwić organom ścigania w jednym państwie członkowskim UE żądanie udostępnienia dowodów elektronicznych. Takimi dowodami są np. e-maile, wiadomości tekstowe czy wiadomości w aplikacjach.
Wystarczy więc mieć siedzibę czy oddział w którymkolwiek z państw UE, a będzie się musiało na żądanie organów ścigania dane te wydać, nawet jeśli fizycznie znajdują się w amerykańskiej chmurze Amazona. I to migiem wydać — w wypadku „sytuacji nadzwyczajnej” usługodawca ma na to zaledwie sześć godzin.
Te sytuacje nadzwyczajne dotyczą przede wszystkim spraw związanych z terroryzmem. Żądania dotyczące „zwykłych” dochodzeń miałyby zostać spełnione w ciągu dziesięciu dni. Poza tym jedynym ograniczeniem dla organów ścigania jest to, że takie żądanie wydania danych musi dotyczyć sprawy zagrożonej karą przynajmniej trzech lat pozbawienia wolności. Nie istnieje poza tym żaden zamknięty katalog przestępstw objętych tą dyrektywą.
Potrzebę nowych uprawnień pomysłodawcy uzasadniają troską o bezpieczeństwo publiczne, które jest przecież priorytetem legislacyjnym Unii na najbliższe lata. Uważają oni, że w czasach gdy dostęp do dowodów elektronicznych ma kluczowe znaczenie dla powodzenia śledztwa, to obecnie istniejące instrumenty prawne działają zbyt wolno, aby pomóc organom ścigania.
Dlatego też dyrektywa E-Evidence uniemożliwi działającym w UE usługodawcom usuwanie danych użytkowników, zmusi ich także do wyznaczenia pracowników odpowiedzialnych za udostępnianie danych na każde żądanie. Wszystko po to, aby „pozbawić terrorystów i przestępców środków i przestrzeni do działania”, w ramach szeroko zakrojonych działań, obejmujących też obowiązkową biometrię w dowodach osobistych czy łatwiejszy dostęp śledczych do dokumentacji bankowej.
Lepiej nie pytaj, co się z nimi dzieje
Czy można zaprotestować i danych nie wydać? Niby można. Możliwe jest wszczęcie procedury odwoławczej, jeśli mamy powody uważać, że dany nakaz wydania danych w sposób oczywisty narusza Kartę Praw Podstawowych Unii Europejskiej. Ogólność tego zapisu pozwala sądom w praktyce odrzucić każde odwołanie.
I jak w tej sytuacji użytkownicy mogą zaufać nam, producentom oprogramowania, skoro praktycznie na każde żądanie każdego prokuratora z każdego państwa UE będziemy musieli ich dane wydać? Cały nasz biznes opiera się przede wszystkim na zaufaniu.
To cios wymierzony w całą branżę. Branżę, w której pracuje w całej Europie niemal 800 tysięcy osób, wytwarzających oprogramowanie o globalnej wartości ponad 820 miliardów euro. Lekkomyślne wydawanie danych użytkowników na każde żądanie organów ścigania, bez realnej ścieżki odwoławczej, bez gwarancji ochrony przed nieuzasadnionym lub bezprawnym ich wykorzystaniem, to po prostu za dużo. To stoi całkowicie w poprzek względem naszych zobowiązań do ostrożnego i zgodnego z prawem obchodzenia się z danymi użytkowników.
Jesteśmy za bezpieczeństwem — ale właściwie rozumianym
Zasadniczo popieramy starania Unii Europejskiej, mające doprowadzić do stworzenia zharmonizowanych ram prawnych, które pozwolą na zwiększenie bezpieczeństwa publicznego i skuteczniejszą walkę z zagrożeniem terroryzmem.
Nie może to jednak odbywać się kosztem zaufania klientów do produktów i usług informatycznych. Nie może to wiązać się z porzuceniem prawa do rzetelnego procesu i przejrzystości działania organów ścigania. Konieczne jest znalezienie równowagi.
Ta wiadomość, którą otrzymaliśmy od The App Association to nie tylko ostrzeżenie. To także konkretna propozycja zmian do unijnej dyrektywy o e-Evidence. Zmiany te pozwolą ustanowić równowagę między dbałością firm o dane użytkowników i swobodą wprowadzania innowacji w zakresie bezpieczeństwa danych oraz pracą organów ścigania w zakresie zapewnienia nam wszystkim bezpieczeństwa publicznego.
Co więc proponuje The App Association?
- Zachowania oryginalnego zakresu dyrektywy E-Evidence do przechowywanych danych — bez rozszerzenia jej o przechwytywanie danych.
- Zmuszenia organów ścigania z państw UE do wcześniejszego powiadomienia firm o uzyskaniu dostępu do danych użytkowników. Chęć zachowania poufności w imię dobra śledztwa powinna być każdorazowo rozpatrywana przez lokalne władze.
- Ochronę firm przed kolizjami prawa, kiedy to europejski nakaz wydania dowodów elektronicznych mógłby prowadzić do naruszenia prawa innego państwa. To organy ścigania powinny być odpowiedzialne za upewnienie się za to, że do kolizji prawa nie dochodzi — nie można tego zrzucać na przedsiębiorców.
Biorąc pod uwagę niewspółmierny koszt wprowadzenia dyrektywy E-Evidence dla małych firm, The App Association proponuje też ograniczenie stawianych im (nam) wymogów:
- Małe firmy powinny mieć więcej czasu na reakcję po otrzymaniu europejskiego nakazu wydania dowodów elektronicznych — dziesięć dni to po prostu za mało, nie mówiąc już o 6 godzinach.
- Małe firmy powinny być zwolnione z obowiązku wyznaczania przedstawiciela odpowiedzialnego za przestrzeganie regulacji i gromadzenie dowodów w trakcie śledztwa — to dla przedsiębiorstw, których nie stać na własnego prawnika wymóg niemożliwy do spełnienia.
- Jako że małe firmy często przechowują dane w odległych geograficznie chmurach, a wymogi rzetelnego procesu różnią się między państwami członkowskimi, powinno być zagwarantowane, że wszystkie państwa UE będą wykorzystywały wyłącznie europejski nakaz wydania dowodów elektronicznych. Małe firmy nie są w stanie jednocześnie dostosować się do wielu różnych mechanizmów prawnych, często pozostających ze sobą w niezgodności.
- Zawarcie umów o współpracy z USA, pozwalające pogodzić europejską dyrektywę z amerykańską ustawą CLOUD (Claryfing Lawful Overseas Use of Data). Tylko to może jednocześnie zapewnić swobodny przepływ danych przez Atlantyk, a zarazem zapewni oczekiwany dostęp organów ścigania do danych.
Jeśli te założenia brzmią dla Was słusznie, zapraszamy do podpisania petycji w serwisie actiononline.org. Wspólnie przekonajmy europejskich polityków, że nie mogą w imię publicznego bezpieczeństwa narzucać rujnujących obciążeń na firmy z dynamicznie rozwijającej się branży!
Originally published at Matsuu Mobile Application Development and Design Studio.
