MAiC w ofensywie: nowe Prawo telekomunikacyjne i nowe przepisy o retencji danych. Co my na to?

Ministerstwo Administracji i Cyfryzacji (MAiC) ogłosiło właśnie dodatkowe, otwarte konsultacje projektu Prawa telekomunikacyjnego. Najwyraźniej nasz postulat „konsultacje w Internecie, nie w gabinecie” przebił się w MAiC – każdy może przekazać swoje opinie za pośrednictwem elektronicznej platformy Mam Zdanie. A czy każdy powinien? Naszym zdaniem tak, bo proponowane zmiany dotkną każdego użytkownika sieci. Najważniejsze wątki to: skrócenie okresu retencji (czyli przechowywania danych telekomunikacyjnych dla celów bezpieczeństwa) z 24 do 12 miesięcy, zagwarantowanie użytkownikom prawa sprzeciwu wobec serwowanych im plików cookie i nałożenie na firmy obowiązku informowania o niebezpiecznych wyciekach danych osobowych.

Rozwiązania proponowane w konsultowanym projekcie są ważne, ale bynajmniej nie nowe. W dużej mierze wynikają one z konieczności wdrożenia tzw. Pakietu telekomunikacyjnego (kilku powiązanych dyrektyw dotyczących telekomunikacji). Prace nad nowelizacją trwają już dobrze ponad rok, a oficjalne konsultacje społeczne odbyły się w sierpniu 2011 r. Jedyną nowością, jaka pojawiła się w projekcie konsultowanym przez MAiC, jest propozycja skrócenia okresu retencji danych z 24 do 12 miesięcy. Tę propozycję przedstawił – jeszcze we wrześniu 2011 r. – minister Jacek Cichocki (wówczas Sekretarz Kolegium ds. Służb Specjalnych), jako część większego pakietu reformującego zasady korzystania przez sądy, prokuraturę i służby z danych telekomunikacyjnych.

Z propozycji ministra Cichockiego do konsultowanej nowelizacji przedostał się tylko jeden postulat: skrócenia okresu retencji. To sprawa ważna, ale wciąż tylko czubek góry lodowej. Eksperci MAiC zdają sobie z tego sprawę, ponieważ zastrzegają, że obecna nowelizacja Prawa telekomunikacyjnego to dopiero początek. Trzeba się będzie zmierzyć z kilkunastoma „ustawami kompetencyjnymi”, czyli przepisami, które regulują sposób korzystania z naszych danych przez poszczególne służby. Warto by też zajrzeć do kodeksów postępowania karnego i cywilnego, pod kątem uprawnień sądów i prokuratury. To poważna reforma, której nie da się zrealizować w jednym kroku. Z drugiej strony, otwarte konsultacje społeczne miałyby o wiele większy sens, gdyby na stole leżał już cały pakiet, a nie dopiero szczątkowe rozwiązania.

Tym bardziej, że także w ramach samego Prawa telekomunikacyjnego przydałyby się dodatkowe zmiany. Sygnalizowaliśmy je jeszcze w grudniu, komentując rozwiązania proponowane przez ministra Cichockiego. Nierozwiązana pozostaje na przykład kwestia zwrotu kosztów, jakie po stronie operatorów generują obowiązek zatrzymywania i udostępniania danych. Przerzucenie na policję i służby przynajmniej częściowego obowiązku pokrywania tych kosztów mogłoby podziałać na funkcjonariuszy dyscyplinująco. Wciąż niedoskonałe są przepisy dotyczące sprawozdawczości: Urząd Komunikacji Elektronicznej dostaje tylko ogólne dane od samych operatorów (ile zapytań od wszystkich uprawnionych organów było w danych roku), natomiast nie mamy żadnej możliwości zweryfikowania, jakie organy i w jakich celach pobierają konkretne rodzaje danych telekomunikacyjnych.

Co do samego okresu retencji, wielokrotnie podkreślaliśmy, że skrócenie obecnie obowiązującego okresu o symboliczną "połowę", niepoparte odpowiednimi analizami, nie rozwiązuje problemu. W opinii wysłanej w grudniu do ministra Cichockiego pisaliśmy:

Naszym zdaniem to ograniczenie jest niewystarczające. Co więcej, wybór akurat tego okresu nie został poparty dostateczną analizą. W uzasadnieniu jest jedynie mowa o braku dostatecznego uzasadnienia dla zatrzymywania danych przez okres 24 miesięcy, natomiast nie pojawiają się konkretne argumenty za przyjęciem okresu 12-miesięcznego. Zgodnie z Raportem na temat ewaluacji dyrektywy retencyjnej opracowanym przez Komisję Europejską6 tylko w Polsce wprowadzono obowiązkową retencję wszystkich typów danych telekomunikacyjnych przez maksymalny okres 2 lat. W 15 krajach czas ten wynosi 12 miesięcy, a w trzech (Cypr, Litwa, Luksemburg) jedynie 6 miesięcy.

Warto również pamiętać, że kilka krajów w ogóle nie wdrożyło dyrektywy retencyjnej i polega wyłącznie na danych przechowywanych przez operatorów w celach komercyjnych (zwykle jest to okres od 3 do 6 miesięcy). Termin roczny stanowi niejako „wypośrodkowanie” istniejących rozwiązań niepoparte dostateczną analizą, podczas gdy to po stronie państwa (na podstawie art. 31 ust. 3, art. 47 i 49 Konstytucji RP) istnieje obowiązek wykazania, że proponowane ograniczenie prawa do prywatności jest konieczne i proporcjonalne w demokratycznym państwie.

Co do pozostałych zmian proponowanych w konsultowanej nowelizacji, swoje uwagi przesłaliśmy Ministerstwu Infrastruktury jeszcze w sierpniu, przy okazji pierwszych konsultacji społecznych. Pisaliśmy w nich m.in.:

Pozytywnie oceniamy również wprowadzone w projekcie ustawy ograniczenie prawa ujawniania „komunikatów i danych” objętych tajemnicą telekomunikacyjną do sytuacji, w których postanowienie w tym przedmiocie wyda sąd karny (art. 159 ust. 4), a nie – jak wynika to z obecnie obowiązujących przepisów – każdy sąd. Zmiana ta – zgodnie z przedstawionym uzasadnieniem projektu nowelizacji – ograniczyć ma niedopuszczalne w odniesieniu do ochrony przed nadmierną ingerencją w prawa i wolności obywatelskie, korzystanie z dostępu do danych retencyjnych na użytek prowadzonych postępowań cywilnych. (…)

Potrzebna jest kompleksowa rewizja postanowień Prawa telekomunikacyjnego, a także przepisów zawartych w odrębnych ustawach regulujących dostęp i korzystanie z przechowywanych przez usługodawców danych telekomunikacyjnych (czyli w „ustawach kompetencyjnych” regulujących uprawnienia poszczególnych służb, czy w Kodeksie postępowania karnego). Postulowane, najbardziej pilne zmiany dotyczą m.in. zdefiniowania katalogu najpoważniejszych przestępstw, przy których będzie można korzystać z retencji; ograniczenia kategorii danych, jakie są przechowywane; ograniczenia kręgu podmiotów uprawnionych do dostępu do danych; wprowadzenie zewnętrznej kontroli nad dostępem do danych, wprowadzenia obowiązku informacyjnego względem inwigilowanej osoby o czynnościach kontrolnych po ich zakończeniu; czy też skrócenie czasu przechowywania danych przez operatorów.

Zdecydowanie krytycznie odnieśliśmy się do przepisów dotyczących serwowania plików cookie. Nowelizacja Prawa telekomunikacyjnego ma zakończyć wdrażanie znowelizowanej dyrektywy o prywatności i łączności elektronicznej, która (w art. 5 ust. 3) wyraźnie zabrania serwowania plików cookie bez uprzedniej zgody użytkownika. Przy czym od tej zasady zrobiono ważny wyjątek dla danych, których zachowanie na urządzeniu końcowym użytkownika jest konieczne do świadczenia usługi. Tymczasem w projekcie nowelizacji w miejsce wymogu uzyskania zgody użytkownika pojawia się tylko prawo do wyrażenia sprzeciwu (wobec serwowania plików cookie w przyszłości) oraz zaostrzone obowiązki informacyjne po stronie usługodawcy. W naszych uwagach pisaliśmy:

Przyjęcie, że rozszerzone obowiązki informacyjne po stronie usługodawców spowodują w sposób automatyczny, że użytkownicy będą w bardziej świadomie „obsługiwać” pliki typu cookies jest niebezpieczną fikcją. Badania pokazują, że niewielu użytkowników Internetu, poruszając się po sieci, poświęca czas na modyfikowanie narzuconych „odgórnie” ustawień prywatności i odpowiednią konfigurację przeglądarek internetowych. Jednocześnie poczucia zagrożenia związane z ochroną prywatności w Internecie wzrasta – problem naruszeń prywatności w sieci staje się coraz powszechniej dostrzegalny, o czym świadczy choćby liczba skarg do Generalnego Inspektora Ochrony Danych Osobowych dotyczących Internetu, która w 2010 r. uległa podwojeniu w stosunku do 2009 r.

(…) uważamy za niezbędne wprowadzenie modelu wyrażania zgody w trybie opt-in. Użytkownicy Internetu powinni mieć zagwarantowaną nie tylko możliwość zgłoszenia sprzeciwu, ale przede wszystkim prawo do niewyrażenia zgody. Utrzymanie zgody jako „opcji domyślnej” nie zapewnia pełnej świadomości korzystania z usług internetowych związanych z korzystaniem z plików cookies. Dlatego też, w naszej ocenie, projektodawca powinien rozważyć rezygnację z utrzymania zgody domniemywanej z braku sprzeciwu i wprowadzić obowiązek jej uprzedniego uzyskania przez usługodawców.