Mamy to! Rząd nie zwiększy zakresu retencji danych

Artykuł

06.02.2023

6 min. czytania

Tekst

Rząd zadeklarował wycofanie pomysłu rozszerzenia obowiązku gromadzenia danych o użytkownikach i użytkowniczkach na dostawców poczty elektronicznej i komunikatorów internetowych. Nie będzie też przepisu, który mógł oznaczać konieczność zaszywania backdoorów do szyfrowanych usług. Za miesiąc ma się odbyć wysłuchanie publiczne w sprawie projektu. Jednak stary problem, tj. zbyt szeroki zakres retencji danych, do której zobowiązani są obecnie operatorzy telekomunikacyjni, pozostaje aktualny.

Prawo Komunikacji Elektronicznej bez (kolejnego) zamachu na prywatność

W naszej opinii do projektu PKE podkreśliliśmy, że obowiązujący obecnie zakres retencji danych telekomunikacyjnych jest zbyt szeroki i przez to sprzeczny z przepisami i orzecznictwem Unii Europejskiej. A zatem sprzeczne byłoby także rozciągnięcie obowiązku przechowywania danych na podmioty świadczące „usługi komunikacji interpersonalnej niewykorzystującej numerów” (czyli właśnie m.in. poczty elektronicznej i komunikatorów internetowych). Co więcej, miały być one zobowiązane do przechowywania „danych jednoznacznie identyfikujących użytkownika” (dookreślenie, że mają to być np. numery IP, nie sprawiłoby wprawdzie, że projekt stałby się zgodny z prawem, ale byłoby przynajmniej wiadomo, o jakich zagrożeniach rozmawiamy).

W swojej opinii nie jesteśmy osamotnieni. Niespodziewanego sojusznika zyskaliśmy w Ministerstwie ds. Unii Europejskiej, które w swoim stanowisku do projektu również zwróciło uwagę na problemy z retencją danych. Sprawa postawiła też do pionu ekspertów od cyberbezpieczeństwa.

Rząd jednak zlekceważył krytyczne opinie. Dopiero nagłośnienie problemu w mediach sprawiło, że zadeklarowano wycofanie się z pomysłu dalszego ułatwienia służbom sięgania po naszą komunikację elektroniczną.

Obecny zbyt szeroki obowiązek retencji – zostaje

Cieszymy się, że (prawdopodobnie) nie będzie gorzej, ale to nie rozwiązuje istniejących problemów. Od lat zwracamy uwagę, że polskie służby mają zbyt swobodny dostęp do danych telekomunikacyjnych, czyli np. lokalizacji naszych urządzeń mobilnych czy listy osób, z którą kontaktujemy się przez telefon. I skwapliwie z niego korzystają. W samym 2021 r. uprawnione do tego służby pozyskały dane telekomunikacyjne ponad 1,8 mln razy (a liczba ta nie obejmuje zapytań o to tzw. dane abonenckie, czyli do kogo należy dany numer).

Problemy są dwa. Pierwszy to zbyt szeroko zakreślony obowiązek retencji (przechowywania danych), na który zwróciło uwagę Ministerstwo ds. UE – bo dotyczy wszystkich użytkowników i użytkowniczek, a nie tylko osób podejrzewanych o przestępstwa. Operatorzy telekomunikacyjni wciąż muszą przez 12 miesięcy przechowywać informacje o tym, do kogo dzwonisz, jak się przemieszczasz i z jakiego numeru IP korzystasz.

Drugi problem to brak realnej kontroli nad służbami, które mogą sprawdzać, kogo chcą i kiedy chcą (o tym, dlaczego kontrola jest iluzoryczna, pisaliśmy w raporcie Rok z ustawą inwigilacyjną. Co się zmieniło? Czy było się czego bać?).

Podkreślmy, co to oznacza w praktyce: służby kilkoma kliknięciami, bez potrzeby pytania sądu o zgodę, mogą sprawdzić, do kogo dzwoniłaś przez ostatni rok i gdzie się przemieszczałeś (z telefonem w kieszeni) przez ostatni rok. A ty nawet się o tym nie dowiesz. Z tym rząd jak na razie nie planuje nic zrobić.

Demokracja nagłówkowa

Nie umiemy powiedzieć, dlaczego rząd zignorował opinię własnych specjalistów od zgodności polskich przepisów z prawem Unii Europejskiej, a przejął się przesadzonymi nagłówkami z portali informacyjnych. Jak mówi stare porzekadło, nie ma tego złego… Ale wolelibyśmy, żeby rząd reagował na rzetelne opinie ostrzegające przed zagrożeniami, a nie te wydumane, podbijane w nagłówkach portali żyjących z kliknięć. W każdym razie my będziemy dalej robić swoje.