Europejski Trybunał Praw Człowieka wypowiedział się w dwóch precedensowych sprawach dotyczących masowej inwigilacji w krajach europejskich. Obie były pokłosiem ujawnienia przez Edwarda Snowdena informacji o wspólnym przekazywaniu danych przez służby bezpieczeństwa USA i Wielkiej Brytanii.
W pierwszej sprawie, Big Brother Watch i inni przeciwko Wielkiej Brytanii (skarga nr 58170/13), skarżący będący organizacjami prywatnymi i pozarządowymi zajmującymi się bezpieczeństwem zarzucali, że mogli być poddani inwigilacji ze strony Rządowego Centrum ds. Łączności (General Communications Headquarters) oraz że brytyjskie służby specjalne mogły otrzymywać od swoich zagranicznych odpowiedników informacje dotyczące działalności skarżących w przestrzeni elektronicznej. Mogły pozyskiwać nie tylko metadane (czyli billingi telefoniczne, miejsca logowania się telefonu komórkowego, dane o aktywności w internecie) dotyczące skarżących, lecz również treść korespondencji. Skarżący zarzucili, że takie działania naruszały ich prawo do prywatności.
Druga sprawa jest wynikiem skargi złożonej przez Bureau of Investiga tive Journalism, niezależną organizację non profit zajmującą się dziennikarstwem śledczym, oraz czołową brytyjską dziennikarkę śledczą, Alice Ross. Zdaniem skarżących rząd Wielkiej Brytanii w sposób bezprawny przechwytywał i przetwarzał dane elektroniczne obywateli, w tym przedstawicieli mediów, co stanowiło poważne naruszenie nie tylko prawa do prywatności, lecz również swobody wypowiedzi poprzez potencjalne zbieranie informacji na temat dziennikarskich źródeł informacji (skarga nr 62322/14).
W wyroku z 13 września 2018 r. strasburscy sędziowie przypomnieli, iż państwa powinny mieć swobodę w kształtowaniu polityki bezpieczeństwa, system funkcjonowania służb i kontroli operacyjnej musi jednak odpowiadać standardom. System funkcjonujący w Wielkiej Brytanii umożliwiał:
• kontrolę komunikacji pomiędzy wybranymi użytkownikami internetowymi, selekcję treści, które nie miały wartości dla wywiadu, możliwość wyszukiwania informacji potrzebnych wywiadowi oraz możliwość oceny materiałów zgromadzonych przez analityka,
• otrzymywanie danych od operatorów telekomunikacyjnych,
• przekazywanie danych pomiędzy służbami bezpieczeństwa różnych państw.
Trybunał uznał, że nie ma dowodów na przekroczenie uprawnień przez wywiad. Stwierdził jednak, że brakuje wystarczających mechanizmów kontroli nad wyborem kontrolowanych danych oraz sposobem ich wyszukiwania w celu zastosowania m.in. podsłuchów. Ponadto w ustawodawstwie nie przewidziano wystarczających zabezpieczeń i mechanizmów ochronnych przed gromadzeniem – nierzadko wrażliwych, odnoszących się do zachowań jednostki czy też jej kontaktów – danych na temat poszczególnych osób. Z tych względów ETPC uznał, że prawo brytyjskie nie spełnia warunków jakościowych, a jego potencjalne zastosowanie do obywateli stanowi naruszenie art. 8 Konwencji.
Rząd brytyjski wskazywał, że przy gromadzeniu przez służby bezpieczeństwa danych od operatorów telekomunikacyjnych stosuje dyrektywę retencyjną UE, która ze względu na zasadę prymatu jest elementem prawa krajowego. ETPC zauważył jednak, że prawo UE zezwala na gromadzenie danych tylko w razie podejrzenia popełnienia poważnego przestępstwa. Wielka Brytania nie wprowadziła zaś tego typu ograniczeń do swojego prawa. W związku z powyższym uznano brytyjskie regulacje za zbyt szerokie i dopatrzono się naruszenia prawa do prywatności.
Trybunał zauważył, że brytyjskie ustawodawstwo pozwalało na zasięgnięcie informacji od wywiadów państw obcych tylko przy spełnieniu warunków określonych w prawie krajowym. Strasburscy sędziowie uznali, że nie ma dowodów na to, aby służby nadużywały wprowadzonego systemu i przekraczały uprawnienia w tym zakresie – w odniesieniu do tego zarzutu ETPC nie dopatrzył się naruszenia Konwencji.
Odnosząc się do zarzutu naruszenia art. 10 Konwencji, ETPC odnotował, iż w prawie krajowym nie ma wystarczających mechanizmów, które chroniłyby komunikację dziennikarza z informatorem. W przypadku dziennikarzy dostęp służb do metadanych może łatwo doprowadzić do wytypowania dziennikarskiego informatora, dlatego powinien być obwarowany silnymi gwarancjami. W konsekwencji osoby przekazujące dziennikarzom ważne z punktu widzenia interesu publicznego informacje mogą zacząć obawiać się kontaktów z mediami ze względu na ryzyko ujawnienia. W odniesieniu do danych uzyskiwania od operatorów telekomunikacyjnych trybunał wskazał, że odpowiednie zabezpieczenia istniały tylko wtedy, gdy było wiadomym, że dane te będą prowadzić bezpośrednio do ujawnienia źródła informacji. Gwarancje nie obejmowały jednak wszystkich sytuacji, w których wniosek o przekazanie danych dotyczył dziennikarza. Nie było też specjalnych przepisów ograniczających przedmiotowo możliwość pozyskiwania danych od operatorów tylko w ramach przeciwdziałaniu „najpoważniejszym przestępstwom”. Tym samym ETPC uznał naruszenie art. 10 Konwencji.
Wyrok ten ma niewątpliwie precedensowy charakter. Po raz pierwszy w jednym wyroku ETPC musiał się wypowiedzieć o masowej kontroli danych, wymianie informacji przez służby bezpieczeństwa różnych państw oraz uzyskiwania przez służby informacji od operatorów telekomunikacyjnych. Jest to też pierwszy wyrok, w którym ETPC zastanawiał się nad wpływem masowej inwigilacji (kontroli metadanych i zastosowaniu podsłuchów) na życie prywatne przeciętnego człowieka. Niewątpliwie wyrok powinien zostać odnotowany przez wszystkie państwa, w których funkcjonują ustawy umożliwiające szerokie zastosowanie kontroli operacyjnej.