Po seminarium o retencji danych telekomunikacyjnych

Na ostatnim seminarium postanowiliśmy zająć się tematem retencji danych komunikacyjnych. Chcieliśmy przybliżyć pojęcie retencji (tak by niewtajemniczonym nie kojarzyło się ono jedynie ze zbiornikami na wodę), zastanowić się nad tym, co wdrożenie dyrektywy o retencji rzeczywiście dla nas oznacza, jaki wpływ wywiera na realizację naszych praw i wolności, jak również nad tym, dlaczego w Polsce temat ten nie wywołuje większych społecznych kontrowersji, gdy np. w Niemczech kilkadziesiąt tysięcy osób zmobilizowało się do wspólnego wystąpienia przeciwko podobnym rozwiązaniom.

Do rozmowy na ten temat zaprosiliśmy Piotra Rutkowskiego z Instytutu MikroMakro i Katarzynę Łakomiec z Biura Rzecznika Praw Obywatelskich.

Obowiązek retencji danych wynika z przepisów UE (Dyrektywa 2006/24/WE), które Polska jest zobowiązana wdrożyć. Prawo telekomunikacyjne już zostało dostosowane do wymogów dyrektywy w wyniku szeregu nowelizacji, ostatnio w 2009 r. Wciąż jeszcze czeka nas wdrożenie obowiązku retencyjnego w stosunku do usług internetowych innych niż poczta i VoIP (np. przeglądarki internetowe, e-commerce).

Według obowiązujących przepisów operatorzy publicznych sieci telekomunikacyjnych oraz dostawcy publicznie dostępnych usług telekomunikacyjnych są obowiązani do przechowywania przez okres 2 lat przetwarzanych przez te podmioty danych transmisyjnych dotyczących abonentów i użytkowników końcowych. Co to jest dokładnie? Wszystkie informacje, jakie są technicznie niezbędne dla ustalenia kto, kiedy, gdzie z kim i w jaki sposób się połączył lub próbował połączyć za pośrednictwem telefonii komórkowej lub sieci Internet.

Do kategorii danych retencyjnych, oprócz tzw. danych bilingowych związanych z usługami telefonicznymi, zalicza się ok. 60 rodzajów danych stanowiących ślady elektroniczne, jakie pozostawiają po sobie, w różnych miejscach sieci, użytkownicy usług telekomunikacyjnych związanych z dostępem do Internetu. Na ogół jest to adres poczty elektronicznej, adres IP komputera włączonego do sieci i wszelkiego typu logi. Te dane są zatrzymywane oraz – na żądanie odpowiednich służb – udostępnianie przez operatorów sieci telekomunikacyjnych i dostawców publicznie dostępnych usług internetowych (np. usługi poczty elektronicznej). Operatorzy sieci komórkowych mają także obowiązek rejestrowania danych geolokalizacyjnych, czyli pozwalających na lokalizację telefonu, z którego wykonano połączenie i z którego je odebrano.

Na problem retencji danych warto spojrzeć w szerszym kontekście ochrony prywatności. Taki punkt wyjścia w swojej prezentacji przyjął Piotr Rutkowski. Zwrócił on uwagę na kulturowe różnice w postrzeganiu prywatności. Nawet ograniczając się do zachodniego kręgu kulturowego, widać spore rozbieżności. W Stanach Zjednoczonych zasadą jest dostęp do informacji z zachowaniem prawa odmowy. W Europie sytuacja jest odwrotna: co do zasady trzeba mieć konkretną podstawę prawną do wykorzystywania danych (co często oznacza konieczność uzyskania zgody). Zdaniem Rutkowskiego, różnice te wynikają z faktu, że ochrona prywatności w Stanach Zjednoczonych ma dłuższą historię niż analogiczna doktryna w Europie. Jednak nawet na naszym kontynencie widać spore rozbieżności w podejściu do prywatności (co pokazuje przykład nieosłoniętych okien w skandynawskich czy holenderskich mieszkaniach) wynikające z różnej historii, różnych doświadczeń społecznych czy tradycji religijnych.

Rozwój technologiczny nie pozostaje oczywiście bez wpływu na rozumienie i ochronę prywatności. Obecnie informacja, co podkreślał Piotr Rutkowski, stała się jednym z najcenniejszych zasobów. Jednocześnie zdarza się, że ma ona znaczenie krytyczne – to od niej bowiem zależeć może bezpieczeństwo państwa. To oczywiście wpłynęło na zainteresowanie służb państwowych danymi przetwarzanymi w sieciach telekomunikacyjnych. Efektem było nałożenie na operatorów telekomunikacyjnych obowiązku współpracy, zachowywania i udostępnienia informacji.

Retencja danych telekomunikacyjnych stanowi, zdaniem Rutkowskiego, pole, na którym w praktyce negocjowane są argumenty dotyczące bezpieczeństwa i prywatności. Wyraźnie wskazuje na to sama geneza dyrektywy o retencji: była ona rezultatem ataków z 11 września 2001 roku oraz zamachów w Londynie i Madrycie. Wydarzenia te stały się bezpośrednim przyczynkiem do zakwestionowania zasad, na jakich wcześniej opierało się ściganie najpoważniejszych przestępstw.

Propozycja wprowadzenia dyrektywy o retencji wywołała poważną i burzliwą dyskusję w wielu europejskich krajach. Debata ta nie dotarła jednak do Polski: temat nie zaistniał na poważnie w dyskursie publicznym, a polski rząd nie zdecydował się na wystosowanie stanowiska w tej sprawie i pozostawił ją swojemu biegowi. Nowelizacji prawa telekomunikacyjnego (będącej efektem zmian na poziomie prawa europejskiego) nie poprzedzała głębsza dyskusja na temat tego, w jaki właściwie sposób wdrażać dyrektywę. Ostatecznie zdecydowano, że informacje o połączeniach powinny być przechowywane przez operatorów przez 2 lata, chociaż w trakcie prac sejmowych – pod naciskiem Ministerstwa Sprawiedliwości – rząd zgłosił autopoprawkę (odrzuconą w drugim czytaniu) przewidującą przechowywanie tych danych przez 15 lat.

Piotr Rutkowski zwrócił uwagę na jeszcze jeden ważny problem związany z wdrożeniem dyrektywy o retencji. W założeniu rozwiązania w niej przewidziane miały dotyczyć terroryzmu i najpoważniejszych przestępstw. Tymczasem polski ustawodawca zupełnie zignorował tę kwestię. Ostatecznie zatem polskie prawo nie ogranicza katalogu przestępstw, w przypadku których możliwy jest dostęp służb do danych retencyjnych (inaczej niż np. w przypadku korzystania z podsłuchów). W efekcie zatem możliwe jest – przynajmniej w założeniu – wykorzystywanie tego typu informacji nawet w przypadku niealimentacji czy przestępstw drogowych.

Problem ten jest jednym z podstawowych, na które zwrócił uwagę Rzecznik Praw Obywatelskich w swoim wystąpieniu do Prezesa Rady Ministrów. Ten i inne zarzuty wobec sposobu wdrażania dyrektywy o retencji przedstawiła w trakcie seminarium Katarzyna Łakomiec. Już na poziomie ogólnym wprowadzone regulacje wydają się godzić w prawo do prywatności, ochronę danych osobowych czy tajemnicę korespondencji, a także naruszać zaufanie obywatela do państwa i stanowionego przez niego prawa. Ponieważ ograniczenia konstytucyjnie gwarantowanych praw i wolności powinny wynikać jedynie z ustawy, wątpliwości budzić może uregulowanie wielu podstawowych kwestii na poziomie rozporządzenia. Rzecznik miał również zarzuty wobec katalogu danych, które mają być zbierane i udostępniane, oraz wobec nakładania nieproporcjonalnych – w jego ocenie – obowiązków na operatorów telekomunikacyjnych.

Janusz Kochanowski deklarował swego czasu publicznie, że poważnie rozważa możliwość zgłoszenia wniosku do Trybunału Konstytucyjnego o zbadanie konstytucyjności przepisów dotyczących retencji danych. Oczywiście (podobnie jak w przypadku Niemiec czy Rumunii) orzeczenie Trybunału dotyczyłoby jedynie sposobu wdrożenia dyrektywy, a nie samego prawa Unii Europejskiej. Zobaczymy, jak do tego problemu odniesie się nowy Rzecznik Praw Obywatelskich i czy on również dostrzeże przesłanki przemawiające za złożeniem takiego wniosku.

Po prezentacjach zaproszonych gości rozpoczęła się dość gorąca dyskusja. Z jednej strony zwracano uwagę na rolę dyskursu budowanego w oparciu o takie pojęcia, jak terroryzm czy cyberterroryzm, a wykorzystywanego w istocie do zwiększenia kontroli nad obywatelami. Z drugiej strony wskazywano na to, że dostęp służb do informacji przechowywanych w ramach obowiązku retencji nie pozwala na zbyt głęboką ingerencję w prywatność, a fakt, że ostatecznie zebrane informacje mają zostać wykorzystane w sądzie, stanowi dostateczne zabezpieczenie przed potencjalnymi nadużyciami.

Niestety nikt nie podjął się próby odpowiedzi na pytanie, dlaczego retencja danych nie stała się w Polsce rzeczywiście ważnym i dyskutowanym tematem oraz nie jest postrzegana jako czynnik ograniczający zbytnio naszą wolność czy prywatność.