Przepisy mające zapewnić większe prawa użytkownikom mediów społecznościowych jednocześnie zwiększą możliwość śledzenia aktywności internautów przez służby
Po ubiegłotygodniowym zawieszeniu konta Konfederacji, którego powodem miało być rozpowszechnianie nieprawdziwych informacji na temat koronawirusa, minister sprawiedliwości Zbigniew Ziobro przedstawił zmienioną wersję projektu ustawy o ochronie wolności słowa w internetowych serwisach społecznościowych. Podkreślił, jak ważne jest wprowadzenie realnych sankcji za „zamach na wolność słowa”. Tymczasem Fundacja Panoptykon zwraca uwagę, że poza przepisami mającymi gwarantować większe prawa użytkownikom projekt przewiduje również takie, które z wolnością nie mają zbyt wiele wspólnego. Zgodnie z nim serwisy będą musiały przez rok przechowywać dane o aktywności internautów i udostępniać je służbom na każde żądanie.
Tak jak dane telekomunikacyjne
Dziś obowiązkiem retencji danych objęte są jedynie firmy telekomunikacyjne i dotyczy on danych lokalizacyjnych czy billingów. Serwisy internetowe przechowują tylko informacje, których same potrzebują (np. na potrzeby reklamacji klientów), i przez taki okres, jaki uznają za niezbędny. Z tego właśnie powodu służby tak chętnie sięgają po dane telekomunikacyjne, a tak rzadko po dane internetowe (patrz grafika). Może to się jednak zmienić za sprawą proponowanej nowelizacji ustawy o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2020 r. poz. 344 ze zm.). Zgodnie z projektowanym art. 18a usługodawca będzie musiał przez 12 miesięcy przechowywać wskazane dane. Poza tymi, o których już dzisiaj wspominają przepisy (np. imię i nazwisko, adres itd., jeśli serwis żąda ich podawania), dodatkowo również oznaczenia identyfikujące użytkowników i zakończenie sieci (w tym adres IP), czas połączenia czy informacje o skorzystaniu z danej usługi. Mówiąc wprost - na podstawie tych informacji będzie wiadomo, kto, co i kiedy robił w sieci. Służby (m.in. policja, ABW, CBA czy KAS) będą zaś miały nieskrępowany dostęp do tych informacji.
- Proponowane przepisy są bowiem ściśle związane z wprowadzoną w 2016 r. tzw. ustawą inwigilacyjną, czyli możliwością tworzenia stałych łączy między służbami a firmami internetowymi - wyjaśnia Wojciech Klicki, prawnik z Fundacji Panoptykon.
- Wejście w życie tych rozwiązań bez wątpienia spowoduje skokowy wzrost zapytań, bo nic nie stanie na przeszkodzie, żeby po te dane sięgać. Nie stanowi przeszkody kontrola nad działaniami służb - bo jej po prostu nie ma. Trudno nazwać „kontrolą” fakt, że służby co pół roku wysyłają sądom tabelkę, w której wskazują, ile razy pobrały dane - dodaje.
Wspomniana przez niego ustawa inwigilacyjna wprowadziła do ustawy o policji (t.j. Dz.U. z 2021 r. poz. 1882 ze zm.) art. 20c ust. 1. Daje on uprawnienie do pozyskiwania danych, o których mowa w art. 18 ust. 1-5 ustawy o świadczeniu usług drogą elektroniczną. Czyli tych, które mają podlegać obowiązkowej retencji.
Walka z przestępczością
Resort sprawiedliwości uważa, że obowiązek retencji danych jest niezbędnym elementem regulacji dotyczących internetu z punktu widzenia zwalczania przestępczości oraz ochrony użytkowników usług.
„W tym celu konieczne jest umożliwienie przechowywania tzw. exit node, które pozwalają na ustalenie użytkownika, który z wykorzystaniem sieci internetowej dopuścił się popełnienia przestępstwa lub naruszenia dóbr osobistych. 12-miesięczny okres przechowywania jest przy tym konieczny i wystarczający do zwrócenia się przez prokuraturę lub sąd o przekazanie danych potrzebnych do prowadzenia postępowania karnego oraz zabezpieczenia tych danych przez odpowiedni organ. Bez tych kategorii danych zwalczanie przestępczości internetowej może być utrudnione, a w niektórych przypadkach wręcz niemożliwe. Rozwiązanie to jest zatem proporcjonalne do wagi problemu” - przekonuje w uzasadnieniu projektu.
Dodatkowy powód to wprowadzenie instytucji ślepego pozwu, który ma umożliwiać prowadzenie postępowań o naruszenie dóbr osobistych również przeciwko osobom o nieustalonej tożsamości. Dzięki danym przechowywanym przez administratorów stron internetowych będzie można je zidentyfikować.
- Moim zdaniem jednak nie uzasadnia to tak głębokiej ingerencji w prywatność wszystkich użytkowników, a właściwym kompromisem byłoby stworzenie instytucji ślepego pozwu bez powszechnej retencji danych. W wielu wypadkach na żądanie sądu dostawcy usług i tak byliby w stanie (na podstawie danych przechowywanych na własne potrzeby) pomóc w ustaleniu tożsamości pozwanej osoby - polemizuje Wojciech Klicki.
Wbrew orzecznictwu TSUE
Problemem jest jednak przede wszystkim to, że planowana retencja jest w sposób oczywisty niezgodna z prawem unijnym, co potwierdził już wielokrotnie w swych orzeczeniach Trybunał Sprawiedliwości Unii Europejskiej. Już w 2014 r. uznał on, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych zbytnio ingeruje w prawo do prywatności i wykracza poza granice tego, co niezbędne do zapewniania bezpieczeństwa (połączone sprawy C-293/12 i C-594/12). Dyrektywa została uznana za nieważną, a tym samym państwa UE straciły podstawę prawną dla krajowych regulacji przewidujących przechowywanie danych na potrzeby służb. W tej chwili ewentualna retencja danych jest możliwa tylko na zasadzie wyjątku przewidzianego w dyrektywie 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywa e-privacy). W 2016 r. TSUE przesądził o niezgodności z prawem unijnym przepisów krajowych, które nakazują ogólną retencję danych (połączone sprawy C-203/15 oraz C-698/15).
W kolejnych sprawach (C-511/18, C-512/18 i C-623/17) TSUE przyznał, że w szczególnych sytuacjach związanych z koniecznością zapewnienia bezpieczeństwa narodowego można wprowadzić obowiązek ogólnej retencji wszystkich danych telekomunikacyjnych. Po pierwsze jednak musi on wynikać z poważnego zagrożenia bezpieczeństwa narodowego, które jest realne i przewidywalne; po drugie jest ograniczony do konkretnych ram czasowych, a po trzecie podlega kontroli niezależnego organu. Planowana retencja (podobnie zresztą jak ta dotycząca danych telekomunikacyjnych) nie spełnia tych warunków. Potwierdzeniem tego jest również ostatnia opinia rzecznika generalnego TSUE wydana w listopadzie 2021 r. w pięciu połączonych sprawach (C-793/19, C-794/19, C-140/20, C-339/20 i C-397/20), w której jednoznacznie stwierdzono niezgodność regulacji krajowych nakładających „obowiązek zatrzymywania w sposób prewencyjny, uogólniony i niezróżnicowany danych dotyczących ruchu i danych dotyczących lokalizacji użytkowników końcowych tych usług do celów innych niż ochrona bezpieczeństwa narodowego przed rzeczywistym i aktualnym lub przewidywalnym zagrożeniem”.
