(1) В Директива 2002/58/ЕО на Европейския парламент и на Съвета (3) се определят правила, които гарантират правото на неприкосновеност на личния живот и на поверителност по отношение на обработването на лични данни при обмен на данни в сектора на електронните комуникации. Посочената директива конкретизира и допълва Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (4).
(2) Директива 2002/58/ЕО се прилага при обработването на лични данни във връзка с предоставянето на публично достъпни електронни съобщителни услуги. До 21 декември 2020 г. се прилагаше определението на електронна съобщителна услуга, посочено в член 2, буква в) от Директива 2002/21/ЕО на Европейския парламент и на Съвета (5). На тази дата Директива (ЕС) 2018/1972 на Европейския парламент и на Съвета (6) отмени Директива 2002/21/ЕО. Определението за електронни съобщителни услуги в член 2, точка 4 от Директива (ЕС) 2018/1972 включва междуличностните съобщителни услуги без номерà по смисъла на определението в член 2, точка 7 от посочената директива. Следователно междуличностните съобщителни услуги без номерà, които включват например пренос на глас чрез интернет протокол, услуги за изпращане на съобщения и уеб базирана електронна поща, бяха включени в обхвата на Директива 2002/58/ЕО на 21 декември 2020 г.
(3) В съответствие с член 6, параграф 1 от Договора за Европейския съюз (ДЕС) Съюзът признава правата, свободите и принципите, прогласени в Хартата на основните права на Европейския съюз („Хартата“). С член 7 от Хартата се защитава основното право на всеки на зачитане на неговия личен и семеен живот, на неговото жилище и тайната на неговите съобщения, което включва поверителността на съобщенията. В член 8 от Хартата се съдържа правото на защита на личните данни.
(4) В член 3, параграф 1 от Конвенцията на Организацията на обединените нации от 1989 г. за правата на детето (КООНПД) и в член 24, параграф 2 от Хартата се посочва, че при всички действия, които се предприемат от публичните власти или частни институции по отношение на децата, висшият интерес на детето трябва да бъде от първостепенно значение. Освен това член 3, параграф 2 от КООНПД и член 24, параграф 1 от Хартата се отнасят до правото на децата на такава закрила и на грижите, необходими за тяхното благоденствие.
(5) Защитата на децата, както офлайн, така и онлайн, е един от приоритетите на Съюза. Сексуалното насилие и сексуалната експлоатация на деца представляват сериозни нарушения на правата на човека и на основните права, и по-специално на правата на децата да бъдат защитени от всякакви форми на насилие, злоупотреба и липса на грижи, малтретиране или експлоатация, включително сексуално насилие, както е предвидено в КООНПД и в Хартата. Цифровизацията донесе много ползи за обществото и икономиката, но също така донесе предизвикателства, сред които увеличаване на онлайн сексуалното насилие над деца. На 24 юли 2020 г. Комисията прие съобщение, озаглавено „Стратегия на ЕС за по-ефективна борба срещу сексуалното насилие над деца“ (наричана по-нататък „стратегията“). Стратегията има за цел да се реагира по ефективен начин на равнището на Съюза на престъплението сексуално насилие над деца.
(6) В съответствие с Директива 2011/93/ЕС на Европейския парламент и на Съвета (7) настоящият регламент не урежда политиките на държавите членки по отношение на сексуалните действия по взаимно съгласие, в които могат да участват деца и които могат да се считат за нормално откриване на сексуалността в хода на човешкото развитие, като се вземат предвид различните културни и правни традиции, както и появата на нови форми на установяване и поддържане на отношения между деца и подрастващи, включително посредством информационните и комуникационните технологии.
(7) Някои доставчици на определени междуличностни съобщителни услуги без номерà (наричани по-нататък „доставчиците“), например уеб базирана електронна поща и услуги за изпращане на съобщения, вече доброволно използват специални технологии за откриване на онлайн сексуално насилие над деца в своите услуги и докладват за него на правоприлагащите органи и на организациите, действащи в обществен интерес срещу сексуалното насилие над деца, чрез сканиране или на съдържанието, като изображения и текст, или на данните за трафика на съобщения, като в някои случаи използват данни за минали периоди. Технологията, използвана за тези дейности, може да бъде технология за хеширане („раздробяване“) на изображения и видеоматериали и класификатори и изкуствен интелект за анализиране на текст или на данни за трафика. При използването на технология за хеширане даден онлайн материал, съдържащ сексуално насилие над деца, се докладва при наличието на положителен резултат, което ще рече съвпадение в резултат на сравнение между изображение или видеоматериал и уникален, неконвертируем цифров подпис („хеш“) от база данни, която се поддържа от организация, действаща в обществен интерес срещу сексуалното насилие над деца, и съдържа проверени онлайн материали, съдържащи сексуално насилие над деца. Тези доставчици препращат към национални горещи линии за докладване на онлайн материали, съдържащи сексуално насилие над деца, и към организации, които се намират както в Съюза, така и в трети държави, чиято цел е да се идентифицират децата, да се намали сексуалната експлоатация на деца и сексуалното насилие над деца и да се предотврати виктимизацията на деца. Такива организации може да не попадат в обхвата на Регламент (ЕС) 2016/679. Като съвкупност подобни доброволни дейности играят ценна роля за подпомагане на идентифицирането и спасяването на жертвите, чиито основни права на човешко достойнство и на физическа и психическа неприкосновеност са сериозно нарушени. Тези доброволни дейности са важни също и за намаляване на по-нататъшното разпространение на онлайн материали, съдържащи сексуално насилие над деца, и допринасят за идентифицирането и разследването на нарушителите и за предотвратяване, разкриване, разследване и наказателно преследване на престъпления, състоящи се в сексуално насилие над деца.
(8) Независимо от законната си цел, доброволните действия от страна на доставчиците за разкриване на онлайн сексуално насилие над деца в техните услуги и докладването му представляват намеса в основните права на зачитане на личния и семейния живот и на защитата на личните данни на всички потребители на междуличностни съобщителни услуги без номерà (наричани по-нататък „потребителите“). Нито едно ограничение на упражняването на основното право на зачитане на личния и семейния живот, включително на поверителност на съобщенията, не може да бъде обосновано само с това, че доставчиците са използвали някои технологии по време, когато междуличностните съобщителни услуги без номерà не са попадали в обхвата на определението за електронни съобщителни услуги. Подобни ограничения са възможни само при определени условия. Съгласно член 52, параграф 1 от Хартата тези ограничения трябва да бъдат предвидени в закон и да зачитат основното съдържание на правата на личен и семеен живот и на защитата на личните данни и, при спазване на принципа на пропорционалност, трябва да са необходими и действително да отговарят на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора. Когато подобни ограничения постоянно включват общо и неизбирателно наблюдение и анализ на съобщенията на всички потребители, те нарушават правото на поверителност на съобщенията.
(9) До 20 декември 2020 г. обработването на лични данни от доставчици чрез доброволни мерки с цел откриване на онлайн сексуално насилие над деца в услугите им, докладването му и премахването от услугите им на онлайн материалите, съдържащи сексуално насилие над деца, се уреждаше единствено от Регламент (ЕС) 2016/679. Директива (ЕС) 2018/1972, която трябваше да бъде транспонирана до 20 декември 2020 г., включи доставчиците в обхвата на Директива 2002/58/ЕО. За да продължат да използват такива доброволни мерки и след 20 декември 2020 г., доставчиците следва да отговарят на условията, определени в настоящия регламент. Регламент (ЕС) 2016/679 ще продължи да се прилага по отношение на обработването на лични данни, извършвано чрез подобни доброволни мерки.
(10) Директива 2002/58/ЕО не съдържа специални разпоредби относно обработването на лични данни от доставчиците във връзка с предоставянето на електронни съобщителни услуги с цел откриване на онлайн сексуално насилие над деца в услугите им, докладването му и премахването на онлайн материалите, съдържащи сексуално насилие над деца, от техните услуги. При все това съгласно член 15, параграф 1 от Директива 2002/58/ЕО държавите членки могат да приемат законодателни мерки за ограничаване на обхвата на правата и задълженията, предвидени, inter alia, в членове 5 и 6 от посочената директива, които засягат поверителността на съобщенията и данните за трафика, с цел предотвратяване, разкриване, разследване и преследване на престъпления, свързани със сексуално насилие над деца. При липсата на такива национални законодателни мерки и в очакване на приемането на по-дългосрочна правна рамка за борба със сексуалното насилие над деца на равнището на Съюза доставчиците няма да могат да се позовават на Регламент (ЕС) 2016/679, за да продължат да използват доброволни мерки за откриване на онлайн сексуално насилие над деца в своите услуги, да го докладват и да премахват от услугите си онлайн материалите, съдържащи сексуално насилие над деца, след 21 декември 2020 г. В настоящия регламент не се предвижда правно основание за обработването на лични данни от доставчиците единствено с цел откриване на онлайн сексуално насилие над деца в техните услуги, докладването му и премахването от услугите им на онлайн материали, съдържащи сексуално насилие над деца, но в него се предвижда дерогация от определени разпоредби на Директива 2002/58/ЕО. В настоящия регламент се определят допълнителни предпазни мерки, които трябва да бъдат спазвани от доставчиците, ако те желаят да се позоват на него.
(11) Обработването на данни за целите на настоящия регламент може да доведе до обработването на специални категории лични данни, както е посочено в Регламент (ЕС) 2016/679. Обработването на изображения и видеоматериали чрез специални технически средства, които дават възможност за уникална идентификация или удостоверяване на автентичността на дадено физическо лице, се счита за обработване на специални категории лични данни.
(12) В настоящия регламент се предвижда временна дерогация от член 5, параграф 1 и член 6, параграф 1 от Директива 2002/58/ЕО, с които се защитават поверителността на съобщенията и данните за трафика. Доброволното използване от доставчиците на технологии за обработване на лични и други данни до степента, необходима за откриване на онлайн сексуално насилие над деца в техните услуги, докладването му и премахването от услугите им на онлайн материали, съдържащи сексуално насилие над деца, попада в обхвата на дерогацията, предвидена в настоящия регламент, при условие че това използване отговаря на условията, определени в настоящия регламент, и следователно подлежи на гаранциите и условията, определени в Регламент (ЕС) 2016/679.
(13) Директива 2002/58/ЕО е приета на основание член 114 от Договора за функционирането на Европейския съюз (ДФЕС). Освен това не всички държави членки са приели законодателни мерки в съответствие с Директива 2002/58/ЕО за ограничаване на обхвата на правата и задълженията, свързани с поверителността на съобщенията и данните за трафика, предвидени в посочената директива, и приемането на такива мерки се съпътства от значителен риск от фрагментиране, което може да има отрицателно въздействие върху вътрешния пазар. Следователно, настоящият регламент следва да се основава на член 114 от ДФЕС.
(14) Като се има предвид, че данните, свързани с електронните съобщения между физически лица, обикновено се квалифицират като лични данни, настоящият регламент следва да се основава и на член 16 от ДФЕС, с който се въвежда специално правно основание за приемането на правила във връзка със защитата на лицата по отношение на обработването на лични данни от институциите, органите, службите и агенциите на Съюза и от страна на държавите членки при осъществяването на дейности, които попадат в обхвата на правото на Съюза, и правила във връзка със свободното движение на тези данни.
(15) Регламент (ЕС) 2016/679 се прилага за обработването на лични данни във връзка с предоставянето на електронни съобщителни услуги от доставчиците единствено с цел откриване на онлайн сексуално насилие над деца в техните услуги, докладването му и премахването от услугите им на онлайн материалите, съдържащи сексуално насилие над деца, доколкото това обработване попада в обхвата на дерогацията, предвидена в настоящия регламент.
(16) Видовете технологии, използвани за целите на настоящия регламент, следва да водят до най-ниска степен на вмешателство в неприкосновеността на личния живот съобразно актуалното технологично равнище в този сектор. Тези технологии не следва да се използват за систематично филтриране и сканиране на текст в съобщения освен ако това е с цел само да откриват модели, които сочат възможни конкретни причини, даващи основание да се заподозре евентуално онлайн сексуално насилие над деца, и не следва да са в състояние да изведат същността на съдържанието на съобщенията. В случая на технология, използвана за идентифициране на установяване на контакт с деца, тези конкретни причини, даващи основание за подозрение, следва да се основават на обективно идентифицирани рискови фактори, като възрастовата разлика и вероятното участие на дете в сканираното съобщение.
(17) Следва да се въведат подходящи процедури и механизми за правна защита, за да се гарантира, че физическите лица могат да подават жалби до доставчиците. Тези процедури и механизми са особено важни, когато съдържание, което не представлява онлайн сексуално насилие над деца, е премахнато или докладвано на правоприлагащите органи или на организация, действаща в обществен интерес срещу сексуалното насилие над деца.
(18) За да се осигури възможно най-голяма точност и надеждност, използваната за целите на настоящия регламент технология следва, в зависимост от актуалното технологично равнище в сектора, да ограничава броя и процента на грешките (фалшивите положителни резултати) до максималната възможна степен и следва, когато е необходимо, да коригира незабавно всички такива грешки, евентуално възникнали въпреки това.
(19) Обработваните данни за съдържанието и данни за трафика и личните данни, генерирани при извършване на дейностите, обхванати от настоящия регламент, и срокът, през който данните се съхраняват впоследствие в случай на идентифициране на предполагаема онлайн сексуална злоупотреба с деца, следва да останат ограничени до строго необходимото за извършването на тези дейности. Всички данни следва да бъдат незабавно и окончателно заличени, щом вече не са строго необходими за някоя от целите, посочени в настоящия регламент, включително когато не е идентифицирано предполагаемо онлайн сексуално насилие над деца, и при всички случаи не по-късно от 12 месеца от датата на предполагаемото онлайн сексуално насилие над деца. Това не следва да засяга възможността за съхраняване на съответните данни за съдържанието и данни за трафика в съответствие с Директива 2002/58/ЕО. Настоящият регламент не засяга прилагането на никое правно задължение съгласно правото на Съюза или националното право за запазване на данни, което се прилага спрямо доставчиците.
(20) Настоящият регламент не възпрепятства доставчик, който е докладвал онлайн сексуално насилие над деца на правоприлагащите органи, да изисква доказателство за получаване на докладването от правоприлагащите органи.
(21) За да се осигури прозрачност и отчетност по отношение на дейностите, предприемани по силата на дерогацията, предвидена в настоящия регламент, доставчиците следва да публикуват и да предоставят доклади на компетентния надзорен орган, определен съгласно Регламент (ЕС) 2016/679 (наричан по-нататък „надзорният орган“) и на Комисията до 3 февруари 2022 г. и до 31 януари всяка година след това. Тези доклади следва да обхващат обработването, попадащо в обхвата на настоящия регламент, включително вида и обема на обработените данни, конкретното основание за обработването на лични данни съгласно Регламент (ЕС) 2016/679, основанията за предаването на лични данни извън Съюза съгласно глава V от Регламент (ЕС) 2016/679, когато е приложимо, броя на идентифицираните случаи на онлайн сексуално насилие на деца, като се прави разграничение между онлайн материали, съдържащи сексуално насилие над деца, и установяване на контакт с деца, броя на случаите, в които потребител е подал жалба до вътрешния механизъм за правна защита или e потърсил правна защита от съдебен орган, и резултата от тези жалби и съдебни производства, броя и процента на грешките (фалшиви положителни) при различните използвани технологии, приложените мерки за ограничаване на процента на грешка и постигнатия процент на грешка, приложените политика за съхранение и гаранции за защита на данните съгласно Регламент (ЕС) 2016/679 и имената на организациите, действащи в обществен интерес срещу сексуалното насилие над деца, с които са били споделени данни съгласно настоящия регламент.
(22) За да се подпомогнат надзорните органи при изпълнението на техните задачи, Комисията следва да изиска от Европейския комитет по защита на данните да издаде насоки относно спазването на Регламент (ЕС) 2016/679 при обработването, попадащо в обхвата на дерогацията, предвидена в настоящия регламент. Когато надзорните органи преценяват дали дадена вече установена или нова технология, която ще се използва, е в съответствие с актуалното технологично равнище в сектора, води до най-ниска степен на вмешателство в неприкосновеността на личния живот и функционира въз основата на подходящо правно основание съгласно Регламент (ЕС) 2016/679, тези насоки следва по-специално да подпомагат надзорните органи при предоставянето на съвети в рамките на процедурата на предварителна консултация, предвидена в посочения регламент.
(23) С настоящия регламент се ограничава правото на защита на поверителността на съобщенията и се въвежда дерогация от решението, възприето в Директива (ЕС) 2018/1972, междуличностните съобщителни услуги без номерà да бъдат подчинени на същите правила, които се прилагат за всички други електронни съобщителни услуги по отношение на неприкосновеността на личния живот, единствено с цел откриване на онлайн сексуално насилие над деца в тези услуги и докладването му на правоприлагащите органи и на организациите, действащи в обществен интерес срещу сексуалното насилие над деца, и премахване от тези услуги на онлайн материали, съдържащи сексуално насилие над деца. Поради това срокът на прилагане на настоящия регламент следва да бъде ограничен до три години от датата на неговото прилагане, за да се предостави необходимото време за приемането на нова дългосрочна правна рамка. В случай че дългосрочната правна рамка бъде приета и влезе в сила преди тази дата, с нея следва да се отмени настоящият регламент.
(24) По отношение на всички други дейности, които попадат в обхвата на Директива 2002/58/ЕО, за доставчиците следва да важат специалните задължения, определени в посочената директива, и следователно правомощията за наблюдение и разследване на компетентните органи, определени съгласно посочената директива.
(25) Криптирането от край до край е важен инструмент за гарантиране на сигурността и поверителността на съобщенията на потребителите, включително на децата. При всяко отслабване на криптирането би могло да се злоупотребява от страна на злонамерени трети лица. Поради това нищо в настоящия регламент не следва да се тълкува като забрана или отслабване на криптирането от край до край.
(26) Правото на зачитане на личния и семейния живот, включително на поверителността на съобщенията, е основно право, гарантирано от член 7 от Хартата. Следователно то е и предпоставка за сигурни съобщения между жертвите на сексуално насилие над деца и доверено пълнолетно лице или организации с дейност в областта на борбата със сексуалното насилие над деца, както и за съобщенията между жертвите и техните адвокати.
(27) Настоящият регламент не следва да засяга правилата относно професионалната тайна съгласно националното право, като правилата за защита на професионалните съобщения между лекарите и техните пациенти, между журналистите и техните източници или между адвокатите и техните клиенти, особено предвид на това, че поверителността на съобщенията между адвокатите и техните клиенти е от ключово значение за гарантиране на ефективното упражняване на правото на защита като съществена част от правото на справедлив съдебен процес. Настоящият регламент също така не следва да засяга националните правила относно регистрите на публичните органи или организациите, които предлагат консултации на лица в затруднено положение.
(28) Доставчиците следва да съобщят на Комисията наименованията на организациите, действащи в обществен интерес срещу сексуалното насилие над деца, на които докладват за възможно онлайн сексуално насилие над деца съгласно настоящия регламент. Въпреки че доставчиците, действащи като администратори, са единствените отговорни да преценят с кое трето лице могат да споделят лични данни съгласно Регламент (ЕС) 2016/679, Комисията следва да осигури прозрачност по отношение на предаването на възможни случаи на онлайн сексуално насилие над деца, като публикува на своя уебсайт списък на организациите, действащи в обществен интерес срещу сексуалното насилие над деца, за които е била уведомена. Този публичен списък следва да бъде лесно достъпен. Също така следва да е възможно доставчиците да използват този списък за идентифициране на съответните организации в глобалната борба срещу онлайн сексуалното насилие над деца. Този списък следва да не засяга задълженията на доставчиците, действащи като администратори съгласно Регламент (ЕС) 2016/679, включително по отношение на задължението им да извършват всяко предаване на лични данни извън Съюза съгласно глава V от посочения регламент и задължението им да изпълняват всички задължения по глава IV от посочения регламент.
(29) Статистическите данни, които държавите членки трябва да предоставят съгласно настоящия регламент, са важни показатели за оценката на политиката, включително на законодателните мерки. Освен това е важно да се признае въздействието на вторичната виктимизация, присъща на споделянето на изображения и видеоматериали на жертви на сексуално насилие над деца, които може да са били разпространявани в продължение на години, и което не е напълно отразено в подобни статистически данни.
(30) В съответствие с изискванията, определени в Регламент (ЕС) 2016/679, и по-специално с изискването държавите членки да гарантират, че надзорните органи разполагат с човешките, техническите и финансовите ресурси, необходими за ефективното изпълнение на техните задачи и за упражняване на правомощията им, държавите членки следва да гарантират, че надзорните органи разполагат с достатъчно такива ресурси за ефективното изпълнение на задачите си и за упражняването на правомощията си съгласно настоящия регламент.
(31) Когато доставчик е извършил оценка на въздействието върху защитата на данните и се е консултирал с надзорните органи по отношение на дадена технология в съответствие с Регламент (ЕС) 2016/679 преди влизането в сила на настоящия регламент, този доставчик не следва да бъде задължен съгласно настоящия регламент да извърши допълнителна оценка на въздействието върху защитата на данните или допълнителна консултация, при условие че надзорните органи са посочили, че обработването на данни чрез тази технология няма да доведе до висок риск за правата и свободите на физическите лица или че администраторът е предприел мерки за смекчаване на подобен риск.
(32) Потребителите следва да имат правото на ефективни правни средства за защита, когато правата им са били нарушени в резултат на обработването на лични и други данни за целите на откриването на онлайн сексуално насилие над деца в междуличностни съобщителни услуги без номepà, докладването му и премахването от тези услуги на онлайн материали, съдържащи сексуално насилие над деца, например в случаите, в които съдържание на потребителя или самоличността на потребителите са били докладвани на организация, действаща в обществен интерес срещу сексуалното насилие над деца, или на правоприлагащите органи, или когато съдържание на потребителя е било премахнато, профилът на потребителя е бил блокиран или предлаганата на потребителя услуга е била спряна.
(33) В съответствие с Директива 2002/58/ЕО и с принципа на свеждане на данните до минимум обработването на лични данни и други данни следва да остане ограничено до данни за съдържанието и свързаните данни за трафика, доколкото това е строго необходимо за постигане на целта на настоящия регламент.
(34) Дерогацията, предвидена в настоящия регламент, следва да обхваща и категориите данни, посочени в член 5, параграф 1 и член 6, параграф 1 от Директива 2002/58/ЕО, които са приложими за обработването както на лични, така и на нелични данни, обработвани в контекста на предоставянето на междуличностни съобщителни услуги без номepà.
(35) Целта на настоящия регламент е да се въведе временна дерогация от някои разпоредби на Директива 2002/58/ЕО, без това да доведе до фрагментиране на вътрешния пазар. Освен това най-вероятно национални законодателни мерки няма да могат да бъдат приети своевременно във всички държави членки. Доколкото целта на настоящия регламент не може да бъде постигната в достатъчна степен от държавите членки, а може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от ДЕС. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля необходимото за постигането на тази цел. С него се въвежда временна и строго ограничена дерогация от прилагането на член 5, параграф 1 и член 6, параграф 1 от Директива 2002/58/ЕС, допълнена от определени гаранции, за да се гарантира, че с нея не се надхвърля необходимото за постигането на заложената цел.
(36) Европейския надзорен орган по защита на данните беше консултиран в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (8) и прие своето становище на 10 ноември 2020 г.,