Resorty siłowe wciąż chciałyby wiedzieć, do kogo piszemy e-maile czy wiadomości przez internet. Próby wywalczenia dodatkowych uprawnień blokują prace nad przepisami dotyczące komunikacji elektronicznej.

Z informacji przedstawionej Senatowi przez ministra sprawiedliwości wynika, że policja i inne służby przetworzyły w ubiegłym roku ponad 1,83 mln naszych danych. To wprawdzie ok. 1,5 proc. mniej niż pozyskały w 2021 r. (1,86 mln), ale o prawie 35 proc. więcej niż pięć lat temu (1,36 mln w 2018 r.). Nie będzie przesadą mówienie o inwigilacji na masową skalę.

– 1,8 mln danych to dużo, bardzo dużo. Przeliczając to na 38 mln obywateli, można powiedzieć, że w najgorszym razie mogło to dotyczyć prawie 5 proc. z nas – mówi dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.

Wśród pozyskanych przez służby danych dominują dane telekomunikacyjne: o tym kto, kiedy, z jakiego miejsca i z jakim numerem łączył się przez telefon, rozmawiając lub wysyłając wiadomość tekstową. Dostęp do nich jest najłatwiejszy. Dzięki obowiązującej od 2016 r. nowelizacji ustawy o Policji oraz niektórych innych ustaw (t.j. Dz.U. z 2016 r. poz. 147), zwanej ustawą inwigilacyjną, służby nie muszą nikogo pytać o zgodę ani wnioskować o przekazanie informacji – otrzymują je za pomocą kilku kliknięć przez tzw. bezpieczne łącze z firmą telekomunikacyjną.

Wojciech Klicki, prawnik z Fundacji Panoptykon, przestrzega przed wyciąganiem wniosków z samej liczby przetworzonych danych. – Z jednej strony można to nazwać wielką inwigilacją, a z drugiej: bronić wzrostu np. zmianami w charakterze przestępstw – zauważa. – Problem nie polega jednak na tym, czy służby uzyskały dostęp do 1 mln czy 5 mln danych, lecz w tym, na jakiej zasadzie się to odbywa – podkreśla.

Sąd nie wychwyci

Resort sprawiedliwości podaje, że w ubiegłym roku sądy okręgowe i wojskowe sądy okręgowe przeprowadziły 241 kontroli dostępu służb do danych – najwięcej od pięciu lat. Żadna nie miała negatywnego wyniku. Rok wcześniej kontroli było 136, z czego dwie zakończyły się negatywnie. Dwa negatywne rezultaty odnotowano też w 2018 r., zaś w latach 2019–2020 po jednym.

Wygląda więc na to, że wszystko jest w porządku?

– Wręcz przeciwnie – mówi Wojciech Klicki. – Brak stwierdzenia nieprawidłowości nie oznacza, że ich nie było, tylko raczej to, że kontrola sądowa jest fikcyjna. Dlatego jeżeli służby pozyskają dane w sposób nadmiarowy, niepotrzebnie, to jako obywatele nie możemy być spokojni, że sąd taki przypadek wychwyci. Niestety, dużo łatwiej jest zaakceptować sprawozdanie policji, niż dokładnie badać wszystkie przypadki sięgania po dane – stwierdza.

Drugim wymiarem kontroli nad dostępem służb do naszych danych jest informowanie po tym fakcie osób, które były poddane inwigilacji. – Domaganie się takich informacji nie jest wymysłem obrońców praw człowieka, tylko wynika z serii orzeczeń Trybunału Sprawiedliwości Unii Europejskiej, który w kontekście danych telekomunikacyjnych stwierdził, że należy informować o dostępie służb do danych – podkreśla prawnik z Panoptykonu.

Taka tradycja

Także Paweł Litwiński uważa, że konieczna jest zmiana przepisów.

– Reguły dostępu do danych zdecydowanie trzeba zmienić, wprowadzając większą kontrolę – uważa dr Litwiński. – Obecnie możemy poznać tylko wolumen przetworzonych danych. Brak nad tym jednak realnej kontroli. TSUE od lat konsekwentnie orzeka, że takie rozwiązania, jak obowiązujące w Polsce, są sprzeczne z unijnymi, a Polska nieodmiennie twierdzi, że to domena prawa krajowego – wskazuje prawnik.

Ministrowie walczą o dostęp

Zmiany prawa chcą także służby. Tylko że w przeciwną stronę: dostęp do danych ma być jeszcze szerszy. Jak pisaliśmy podczas prac nad rządowym projektem ustawy – Prawo komunikacji elektronicznej (PKE), obowiązek retencji danych o połączeniach i osobach je wykonujących, dotyczący obecnie operatorów telekomunikacyjnych, miał zostać rozszerzony na wszystkich przedsiębiorców komunikacji elektronicznej – np. świadczących usługi poczty internetowej czy komunikatorów (nie chodziło jednak o treść wiadomości, tylko o to, skąd i dokąd są one wysyłane). Po ostrej krytyce społecznej ten przepis skreślono w trakcie prac sejmowych.

ikona lupy />
Miliony danych, paręset kontroli / Dziennik Gazeta Prawna - wydanie cyfrowe

Służby o nim nie zapomniały. Po tym, jak wiosną bieżącego roku projekt PKE wycofano z Sejmu do dalszych prac rządowych, resorty siłowe ponowiły swoje żądania. – Pojawiły się zasadnicze uwagi ze strony ministra obrony narodowej i ministra koordynatora służb specjalnych, którzy stwierdzili, że rozszerzenie definicji podmiotów, które będą podlegały obowiązkom m.in. w zakresie kontroli operacyjnej, powinny dotyczyć pełnego spektrum, także przedsiębiorców komunikacji elektronicznej – mówi nam minister cyfryzacji Janusz Cieszyński.

Pat wokół tej sprawy zahamował prace nad PKE. W tej kadencji – jak wyjaśnia minister Cieszyński – ze względu na kalendarz sejmowy projekt nie trafi już na Wiejską.

– Ale pomysł rozszerzenia uprawnień powróci – przewiduje Paweł Litwiński. – Szczególnie że nurt bezpieczeństwa narodowego, definiowanego zależnie od bieżących potrzeb, będzie się tylko umacniał – dodaje.

Wbrew unijnym przepisom

Trybunał Sprawiedliwości Unii Europejskiej wielokrotnie już stwierdzał, że prawo unijne nie zezwala na wprowadzenie uogólnionego (czyli takiego, jak jest w Polsce) obowiązku przechowywania danych przez operatorów oraz udostępnianie ich służbom bez kontroli sądu czy innego niezależnego organu. Polska od lat ignoruje to orzecznictwo, choć nasz rząd doskonale zdaje sobie sprawę z tego, że łamie unijne prawo. Przy okazji opiniowania projektu PKE stwierdziła to wprost podsekretarz stanu w KPRM ds. Unii Europejskiej Karolina Rudzińska. W przesłanym do Sejmu stanowisku napisała, że ustanawiany przez państwa członkowskie obowiązek „powszechnego i niezróżnicowanego” przechowywania danych dotyczących korzystania przez użytkowników z usług komunikacji elektronicznej jest konsekwentnie uznawany przez TSUE za niezgodny z prawem UE.

Przepisy o obowiązkowej retencji danych po raz pierwszy TSUE zakwestionował już w 2014 r. (sprawa C-293/12). To wówczas stwierdził nieważność dyrektywy 2006/24/WE, na której podstawie zobowiązywano operatorów do przechowywania i udostępniania danych. Potem wielokrotnie opowiadał się przeciwko regulacjom przewidującym ogólny i niezróżnicowany obowiązek retencji (np. wyrok z 5 kwietnia 2022 r. w sprawie C-140/20). Co więcej, podważał nawet mocno złagodzone w poszczególnych krajach regulacje. Przykładowo w Niemczech skrócono okres przechowywania danych do 4 tygodni (dane lokalizacyjne) i 10 tygodni (pozostałe dane, np. billingi), ale i te przepisy zostały uznane przez TSUE za niezgodne z unijnym prawem (wyrok z 20 września 2022 r. w sprawie C-793/19).

TSUE dopuszcza obowiązek gromadzenia danych, ale tylko w indywidualnych sprawach w celu zwalczania poważnej przestępczości. Zostało to też obwarowane dodatkowymi warunkami. Dostęp do danych jest możliwy po uzyskaniu zgody sądu lub innego niezależnego organu, a inwigilowana osoba powinna zostać o tym poinformowana (m.in. połączone sprawy C-203/15 oraz C-698/15). ©℗

Współpraca Sławomir Wikariak