Rząd przyznaje wprost, że przepisy nakazujące udostępniać policji dane Polaków są niezgodne z prawem unijnym. Jednocześnie jednak chce poszerzyć ten obowiązek i objąć nim wiele dodatkowych firm.

Choć Trybunał Sprawiedliwości Unii Europejskiej nie miał jeszcze okazji badać polskich przepisów o retencji danych, to jego orzecznictwo od lat jest jednoznaczne i wynika z niego wprost, że są one niezgodne z prawem unijnym. Potwierdzeniem tego jest przesłana do Sejmu opinia, którą sporządziła podsekretarz stanu w KPRM ds. Unii Europejskiej Karolina Rudzińska. Dotyczy ona projektu ustawy - Prawo komunikacji elektronicznej. Ma ona zastąpić obecną ustawę - Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648 ze zm.), która nakłada na telekomy obowiązek 12-miesięcznej retencji danych. Policja, Straż Graniczna, KAS, ABW, CBA i kilka innych służb mają do nich nieskrępowany dostęp, bez jakiejkolwiek kontroli. Dzięki nim mogą się dowiedzieć nie tylko do kogo dzwoniliśmy, lecz także gdzie w tym czasie przebywaliśmy.
Podsekretarz stanu przypomina w swej opinii, że ustanawiany przez państwa członkowskie obowiązek „powszechnego i niezróżnicowanego” przechowywania danych dotyczących korzystania przez użytkowników z usług komunikacji elektronicznej jest konsekwentnie uznawany przez TSUE za niezgodny z prawem UE. Przesądzono to w kilku sprawach dotyczących m.in. przepisów francuskich, belgijskich i niemieckich.

Zmiana, ale w drugą stronę

Naturalnym krokiem po przedstawieniu takiej opinii powinna być oczywiście próba dostosowania przepisów pozwalających na inwigilację Polaków do orzecznictwa TSUE. Nasz rząd postanowił pójść jednak dokładnie w odwrotnym kierunku. Obowiązek retencji danych, który dzisiaj dotyczy firm telekomunikacyjnych, ma objąć również wielu dodatkowych usługodawców. Na żądanie ministra obrony narodowej oraz ministra koordynatora służb specjalnych do projektu wpisano obowiązek retencji danych także przez dostawców „usług komunikacji interpersonalnej niewykorzystujących numerów”. Chodzi m.in. o dostawców usług e-mail, firmy oferujące czaty czy komunikatory.
- Ta zmiana drastycznie zwiększy ilość danych, do których w niekontrolowany sposób będą miały dostęp służby. Wystarczy przypomnieć sobie aferę związaną z Pegazusem, by zobrazować skalę możliwych nadużyć. Na dodatek nie wiadomo do końca, jacy przedsiębiorcy i jakie dane będą musieli przechowywać, bo pod hasłem „usług komunikacji interpersonalnej niewykorzystującej numerów” może kryć się wiele różnych usług - zauważa Wojciech Klicki, prawnik z Fundacji Panoptykon.
Zwiększony ma zostać również zakres przechowywanych i udostępnianych na żądanie służb danych. Będą to dodatkowo także informacje „jednoznacznie identyfikujące użytkownika w sieci”. W uzasadnieniu projektu wspomina się o numerze portu komunikacyjnego oraz adresie IP, ale szczegółowy wykaz danych ma zostać określony w rozporządzeniu ministra właściwego do spraw informatyzacji. Mamy więc do czynienia z przepisem blankietowym, który zostanie wypełniony treścią dopiero na poziomie aktu wykonawczego.
W stanowisku przesłanym do Sejmu Fundacja Panoptykon podkreśla, że nowa ustawa zamiast rozwiązywać problem niezgodności przepisów dotyczących retencji danych z prawem UE, pogłębia go. Podobnego zdania jest podsekretarz stanu w KPRM ds. Unii Europejskiej, która w przywołanej wcześniej opinii wskazuje, że zwiększenie liczby firm zobowiązanych do retencji danych „pogłębiło zakres niezgodności projektowanych przepisów z prawem UE”.

Jednolite orzecznictwo

Już w 2014 r. Trybunał Sprawiedliwości Unii Europejskiej uchylił dyrektywę 2006/24/WE o retencji danych telekomunikacyjnych, uznając, że zbytnio ingeruje ona w prywatność. Mimo tego większość państw członkowskich wciąż utrzymywała przepisy nakazujące telekomom przechowywanie danych telekomunikacyjnych i udostępnianie ich na żądanie służb. Z czasem zaczęły do TSUE wpływać kolejne sprawy, w których konsekwentnie orzekano, że uogólniony nakaz retencji danych i dostęp do nich służb bez kontroli jest niezgodny z prawem unijnym. Mówiąc wprost - prawo krajowe nie może nakazywać operatorom telekomunikacyjnym zatrzymywania danych wszystkich obywateli, nawet gdy jest to argumentowane walką z poważną przestępczością. Państwo nie może również wymagać od nich, by przekazywały te dane bez kontroli sądu lub innego niezależnego organu. To ostatnie zresztą potwierdza również orzecznictwo polskiego Trybunału Konstytucyjnego, który w 2014 r. uznał, że dostęp służb do danych telekomunikacyjnych powinien być uzależniony od uprzedniej, niezależnej kontroli (sygn. akt K 23/11).
W kilku kolejnych wyrokach TSUE dookreślał granice retencji danych i dostępu do nich (m.in. sprawy C-203/15, C-698/15, C-511/18, C-512/18 i C-623/17). Część państw próbowała dostosowywać do tych wskazówek swe regulacje. Niemcy np. mocno skrócili okres retencji. W przypadku danych lokalizacyjnych do 4 tygodni, w przypadku pozostałych do 10 miesięcy. Kolejny wyrok TSUE dotyczący tych przepisów (sprawy C-793/19 i C-794/19) pokazał jednak, że to wciąż za mało. Nadal bowiem operatorzy muszą przechowywać dane wszystkich obywateli, a to jest niedozwolone.
- W orzecznictwie TSUE dostrzegam dwie warstwy. Pierwsza dotyczy tego, pod jakimi warunkami jest możliwy dostęp służb do danych telekomunikacyjnych, i oczywiste jest, że musi się to odbywać pod kontrolą sądu lub innego niezależnego organu. W drugiej warstwie stawiane jest pytanie o to, czy państwo w ogóle może wymagać od przedsiębiorców retencji danych. Odpowiedź jest przecząca, jeśli chodzi o ogólne, niezróżnicowanie przechowywanie. Czym innym jest nałożenie takiego obowiązku na konkretnym terenie, w związku z konkretnymi zagrożeniami lub też nakazanie zabezpieczenia danych po konkretnym zdarzeniu, a czym innym retencja danych wszystkich użytkowników niejako na zapas - zauważa Wojciech Klicki.

Konieczna zmiana podejścia

Podsekretarz stanu w KPRM ds. Unii Europejskiej ostrzega w swej opinii, że jeśli projekt ustawy - Prawo komunikacji elektronicznej nie zostanie zmieniony, to istnieje ryzyko uznania polskich przepisów za niezgodne z unijnymi. TSUE mógłby to zrobić albo na skutek skargi Komisji Europejskiej, albo po przesłaniu przez któryś z polskich sądów pytania prejudycjalnego do Luksemburga.
- Uważam, że do zmiany jest cały paradygmat retencji danych w Polsce na potrzeby dostępu służb do tych danych. Obecnie - przypomnę - mamy masowe, niczym nieograniczone i powszechne zatrzymywanie i przechowywanie danych o ruchu i lokalizacji użytkowników telefonii komórkowej, a mamy mieć to zatrzymywanie rozszerzone na wszystkie usługi i wszystkich dostawców usług komunikacji elektronicznej. Takie podejście jest po prostu niezgodne z prawem Unii. Kropka - komentuje dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
- Co więc zrobić? Oczywiście, po pierwsze, nie rozszerzać tego dostępu na wszystkie usługi i wszystkich dostawców usług komunikacji elektronicznej. Po drugie, trzeba przygotować osobną ustawę, która systemowo wdroży do naszego porządku prawnego orzecznictwo TSUE związane z retencją danych. Należałoby w niej zrezygnować z masowego zatrzymywania danych i wprowadzić realny nadzór nad dostępem do nich - podpowiada prawnik.©℗
ikona lupy />
Najwięcej danych pozyskuje policja / Dziennik Gazeta Prawna - wydanie cyfrowe