Resorty siłowe wciąż chciałyby wiedzieć, do kogo piszemy e-maile czy wiadomości przez internet. Próby wywalczenia dodatkowych uprawnień blokują prace nad przepisami dotyczące komunikacji elektronicznej.
Z informacji przedstawionej Senatowi przez ministra sprawiedliwości wynika, że policja i inne służby przetworzyły w ubiegłym roku ponad 1,83 mln naszych danych. To wprawdzie ok. 1,5 proc. mniej niż pozyskały w 2021 r. (1,86 mln), ale o prawie 35 proc. więcej niż pięć lat temu (1,36 mln w 2018 r.). Nie będzie przesadą mówienie o inwigilacji na masową skalę.
– 1,8 mln danych to dużo, bardzo dużo. Przeliczając to na 38 mln obywateli, można powiedzieć, że w najgorszym razie mogło to dotyczyć prawie 5 proc. z nas – mówi dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.
Wśród pozyskanych przez służby danych dominują dane telekomunikacyjne: o tym kto, kiedy, z jakiego miejsca i z jakim numerem łączył się przez telefon, rozmawiając lub wysyłając wiadomość tekstową. Dostęp do nich jest najłatwiejszy. Dzięki obowiązującej od 2016 r. nowelizacji ustawy o Policji oraz niektórych innych ustaw (t.j. Dz.U. z 2016 r. poz. 147), zwanej ustawą inwigilacyjną, służby nie muszą nikogo pytać o zgodę ani wnioskować o przekazanie informacji – otrzymują je za pomocą kilku kliknięć przez tzw. bezpieczne łącze z firmą telekomunikacyjną.
Wojciech Klicki, prawnik z Fundacji Panoptykon, przestrzega przed wyciąganiem wniosków z samej liczby przetworzonych danych. – Z jednej strony można to nazwać wielką inwigilacją, a z drugiej: bronić wzrostu np. zmianami w charakterze przestępstw – zauważa. – Problem nie polega jednak na tym, czy służby uzyskały dostęp do 1 mln czy 5 mln danych, lecz w tym, na jakiej zasadzie się to odbywa – podkreśla.
Sąd nie wychwyci
Resort sprawiedliwości podaje, że w ubiegłym roku sądy okręgowe i wojskowe sądy okręgowe przeprowadziły 241 kontroli dostępu służb do danych – najwięcej od pięciu lat. Żadna nie miała negatywnego wyniku. Rok wcześniej kontroli było 136, z czego dwie zakończyły się negatywnie. Dwa negatywne rezultaty odnotowano też w 2018 r., zaś w latach 2019–2020 po jednym.
Wygląda więc na to, że wszystko jest w porządku?
– Wręcz przeciwnie – mówi Wojciech Klicki. – Brak stwierdzenia nieprawidłowości nie oznacza, że ich nie było, tylko raczej to, że kontrola sądowa jest fikcyjna. Dlatego jeżeli służby pozyskają dane w sposób nadmiarowy, niepotrzebnie, to jako obywatele nie możemy być spokojni, że sąd taki przypadek wychwyci. Niestety, dużo łatwiej jest zaakceptować sprawozdanie policji, niż dokładnie badać wszystkie przypadki sięgania po dane – stwierdza.
Drugim wymiarem kontroli nad dostępem służb do naszych danych jest informowanie po tym fakcie osób, które były poddane inwigilacji. – Domaganie się takich informacji nie jest wymysłem obrońców praw człowieka, tylko wynika z serii orzeczeń Trybunału Sprawiedliwości Unii Europejskiej, który w kontekście danych telekomunikacyjnych stwierdził, że należy informować o dostępie służb do danych – podkreśla prawnik z Panoptykonu.
Taka tradycja
Także Paweł Litwiński uważa, że konieczna jest zmiana przepisów.
– Reguły dostępu do danych zdecydowanie trzeba zmienić, wprowadzając większą kontrolę – uważa dr Litwiński. – Obecnie możemy poznać tylko wolumen przetworzonych danych. Brak nad tym jednak realnej kontroli. TSUE od lat konsekwentnie orzeka, że takie rozwiązania, jak obowiązujące w Polsce, są sprzeczne z unijnymi, a Polska nieodmiennie twierdzi, że to domena prawa krajowego – wskazuje prawnik.
Ministrowie walczą o dostęp
Zmiany prawa chcą także służby. Tylko że w przeciwną stronę: dostęp do danych ma być jeszcze szerszy. Jak pisaliśmy podczas prac nad rządowym projektem ustawy – Prawo komunikacji elektronicznej (PKE), obowiązek retencji danych o połączeniach i osobach je wykonujących, dotyczący obecnie operatorów telekomunikacyjnych, miał zostać rozszerzony na wszystkich przedsiębiorców komunikacji elektronicznej – np. świadczących usługi poczty internetowej czy komunikatorów (nie chodziło jednak o treść wiadomości, tylko o to, skąd i dokąd są one wysyłane). Po ostrej krytyce społecznej ten przepis skreślono w trakcie prac sejmowych.
Służby o nim nie zapomniały. Po tym, jak wiosną bieżącego roku projekt PKE wycofano z Sejmu do dalszych prac rządowych, resorty siłowe ponowiły swoje żądania. – Pojawiły się zasadnicze uwagi ze strony ministra obrony narodowej i ministra koordynatora służb specjalnych, którzy stwierdzili, że rozszerzenie definicji podmiotów, które będą podlegały obowiązkom m.in. w zakresie kontroli operacyjnej, powinny dotyczyć pełnego spektrum, także przedsiębiorców komunikacji elektronicznej – mówi nam minister cyfryzacji Janusz Cieszyński.
Pat wokół tej sprawy zahamował prace nad PKE. W tej kadencji – jak wyjaśnia minister Cieszyński – ze względu na kalendarz sejmowy projekt nie trafi już na Wiejską.
– Ale pomysł rozszerzenia uprawnień powróci – przewiduje Paweł Litwiński. – Szczególnie że nurt bezpieczeństwa narodowego, definiowanego zależnie od bieżących potrzeb, będzie się tylko umacniał – dodaje.
Wbrew unijnym przepisom
Trybunał Sprawiedliwości Unii Europejskiej wielokrotnie już stwierdzał, że prawo unijne nie zezwala na wprowadzenie uogólnionego (czyli takiego, jak jest w Polsce) obowiązku przechowywania danych przez operatorów oraz udostępnianie ich służbom bez kontroli sądu czy innego niezależnego organu. Polska od lat ignoruje to orzecznictwo, choć nasz rząd doskonale zdaje sobie sprawę z tego, że łamie unijne prawo. Przy okazji opiniowania projektu PKE stwierdziła to wprost podsekretarz stanu w KPRM ds. Unii Europejskiej Karolina Rudzińska. W przesłanym do Sejmu stanowisku napisała, że ustanawiany przez państwa członkowskie obowiązek „powszechnego i niezróżnicowanego” przechowywania danych dotyczących korzystania przez użytkowników z usług komunikacji elektronicznej jest konsekwentnie uznawany przez TSUE za niezgodny z prawem UE.
Przepisy o obowiązkowej retencji danych po raz pierwszy TSUE zakwestionował już w 2014 r. (sprawa C-293/12). To wówczas stwierdził nieważność dyrektywy 2006/24/WE, na której podstawie zobowiązywano operatorów do przechowywania i udostępniania danych. Potem wielokrotnie opowiadał się przeciwko regulacjom przewidującym ogólny i niezróżnicowany obowiązek retencji (np. wyrok z 5 kwietnia 2022 r. w sprawie C-140/20). Co więcej, podważał nawet mocno złagodzone w poszczególnych krajach regulacje. Przykładowo w Niemczech skrócono okres przechowywania danych do 4 tygodni (dane lokalizacyjne) i 10 tygodni (pozostałe dane, np. billingi), ale i te przepisy zostały uznane przez TSUE za niezgodne z unijnym prawem (wyrok z 20 września 2022 r. w sprawie C-793/19).
TSUE dopuszcza obowiązek gromadzenia danych, ale tylko w indywidualnych sprawach w celu zwalczania poważnej przestępczości. Zostało to też obwarowane dodatkowymi warunkami. Dostęp do danych jest możliwy po uzyskaniu zgody sądu lub innego niezależnego organu, a inwigilowana osoba powinna zostać o tym poinformowana (m.in. połączone sprawy C-203/15 oraz C-698/15). ©℗