Jak jest z retencją danych w innych krajach? Unia chce zmian, w Polsce retencja do kontroli

Polska jest jednym z nielicznych państw Unii Europejskiej, w których obowiązuje powszechna retencja danych telekomunikacyjnych. Państw, gdzie po takie dane mogą w sposób niekontrolowany sięgać służby – tak jak dzieje się to w Polsce – jest jeszcze mniej. 

To ostatni dzień, by przekazać 

1,5% podatku Fundacji Panoptykon

KRS 0000327613

Postulat Panoptykonu, żeby wprowadzić w Polsce kontrolę nad służbami, nieoczekiwanie wzmocniła Komisja Europejska, proponując „harmonizację zasad retencji danych w Unii Europejskiej”.

Przedstawiciele polskich służb obstają przy tym, że powszechna retencja danych, czyli przechowywanie wszystkich metadanych telekomunikacyjnych wszystkich użytkowników i użytkowniczek telefonów, jest niezbędna do ścigania przez nie przestępczości. Raport agencji EUROJUST pokazuje jednak, że nie jest to bynajmniej powszechne rozwiązanie w Unii Europejskiej. W 15 z 27 państw członkowskich nie obowiązuje powszechna retencja danych. Powszechna jest za to kontrola sądów nad sięganiem po te dane – która w Polsce ma formę iluzoryczną.

W Polsce: powszechna retencja i niekontrolowany dostęp do danych

Obowiązujące w Polsce zasady – powszechna retencja i niekontrolowanych dostęp służb do danych – to ogromne pole do nadużyć. Służby bez kontroli sięgają po billingi dziennikarzy, dane ich źródeł, informacje o połączeniach adwokatów, naruszając w ten sposób tajemnicę dziennikarską i obrończą. Mogą sięgać także po lokalizację np. aktywistów, odstraszając ich w ten sposób od występowania w obronie praw człowieka.

Panoptykon od lat domaga się zmian: między innymi wprowadzenia kontroli nad działaniami służb. Podważamy też obowiązujące w Polsce zasady przetwarzania danych osobowych przez służby. A raczej brak tych zasad, bo służb także w tym zakresie nikt nie kontroluje.

Image

Retencja danych telekomunikacyjnych w innych państwach UE

We Francji obowiązuje zakaz ogólnej, dotyczącej wszystkich osób, retencji danych. Wyjątkiem są sytuacje, gdy dochodzi do „rzeczywistego, przewidywalnego i poważnego” zagrożenia dla bezpieczeństwa narodowego (wtedy dane o ruchu i lokalizacji mogą być przechowywane przez okres roku). Istnieje też możliwość, by „w celu zwalczania poważnych przestępstw” organ sądowy nakazał natychmiastowe zamrożenie danych dotyczących ruchu i lokalizacji przechowywanych przez dostawców usług.

W Belgii istnieje obowiązek przechowywania danych dotyczących tożsamości wszystkich użytkowników. Inne rodzaje danych telekomunikacyjnych mogą być przechowywane w związku z bezpieczeństwem narodowym lub zwalczaniem poważnych przestępstw. Zróżnicowany jest okres przechowywania tych danych – od sześciu do dwunastu miesięcy. Zależy on od miejsca i poziomu zagrożenia bezpieczeństwa (dane przechowywane są najdłużej w miejscach o wysokim poziomie zagrożenia bezpieczeństwa i w miejscach strategicznych, takich jak lotniska czy porty). W Belgii obowiązuje też zasada quick-freeze, która pozwala na natychmiastowe zamrożenie danych o ruchu i lokalizacji.

Dania ogranicza retencję danych o ruchu i lokalizacji do konkretnych osób lub lokalizacji – oraz celów: zwalczania poważnych przestępstw i zapobiegania poważnym atakom na bezpieczeństwo publiczne. Powszechna retencja danych wszystkich osób (na okres roku) może być zarządzona, gdy państwo stanie w obliczu poważnego zagrożenia, które jest „prawdziwe, obecne lub przewidywalne”.

W Irlandii o powszechną retencję danych dotyczących ruchu i lokalizacji może zawnioskować Minister Sprawiedliwości – w okolicznościach, w których jest przekonany, że istnieje „poważne, rzeczywiste i aktualne” zagrożenie dla bezpieczeństwa narodowego. Taki wniosek rozpatruje wyznaczony sędzia. Poza tym o zabezpieczenie i dostęp do danych telekomunikacyjnych zarówno na potrzeby związane z ochroną bezpieczeństwa narodowego, jak i dochodzeń w sprawie poważnych przestępstw, może zawnioskować policja (An Garda Síochána) – taki wniosek rozpatruje upoważniony sędzia.

Również w Austrii nie wolno przechowywać danych o lokalizacji. Wyjątkowe sytuacje, w których można wnioskować o szybkie zamrożenie danych, wyraźnie określa prawo karne. Billingi muszą być usuwane w ciągu trzech miesięcy od uregulowania płatności za usługę telekomunikacyjną.

Fundacja Panoptykon domaga się zmian w zasadach retencji danych w Polsce

Przed objęciem władzy w grudniu 2023 r. obecna koalicja rządząca obiecywała reformę służb. Miało dojść do wzmocnienia kontroli nad nimi, a „obywatele [mieli uzyskać] prawo do informacji o zainteresowaniu nimi ze strony służb, w szczególności informacji o prowadzonej wobec nich kontroli operacyjnej”.

W marcu 2024 r. Europejski Trybunał Praw Człowieka wydał wyrok w sprawie o inwigilację (Pietrzak oraz Bychawska-Siniarska i inni przeciwko Polsce). ETPC stwierdził w nim, że obowiązujące w Polsce przepisy dotyczące retencji danych telekomunikacyjnych naruszają prawa człowieka.

Więcej o sprawie przed ETPC

Jeszcze tego samego dnia ministrowie sprawiedliwości i koordynator służb specjalnych zapowiedzieli zmiany w kontroli nad służbami. Minął rok, a kontroli nie ma.

Dlatego w marcu 2025 r. związani z Panoptykonem aktywiści i adwokat zdecydowali się wypróbować inną drogę podważenia obowiązujących w Polsce zasad retencji danych. Do czterech największych telekomów złożyli wnioski o usunięcie ich danych zebranych w ciągu poprzednich 12 miesięcy. Powołali się przy tym na art. 17 ust. 1 lit. d RODO, który pozwala na żądanie usunięcia danych przetwarzanych niezgodnie z prawem.
W formie cytatu treść tego artykułu RODO lub wyimek z wniosku o usunięcie danych

„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: (...) dane osobowe były przetwarzane niezgodnie z prawem;”

Artykuł 17 ust. 1 Rozporządzenia o ochronie danych osobowych (RODO)

Jeśli telekomy odmówią – a tego się spodziewamy – złożymy skargi do Prezesa Urzędu Ochrony Danych Osobowych. Mamy nadzieję, że sprawa zawędruje do Trybunału Sprawiedliwości Unii Europejskiej, bo ta instytucja ma możliwość nakazania Polsce wprowadzenia zmian w przepisach.

Więcej o akcji składania wniosków do telekomów o usunięcie danych

ProtectEU: organizacje europejskie boją się pogorszenia ochrony praw, 

1 kwietnia 2025 r. Komisja Europejska opublikowała komunikat dotyczący ProtectEU – strategii dotyczącej bezpieczeństwa wewnętrznego Unii Europejskiej. Proponuje w nim m.in. ujednolicenie zasad dotyczących retencji danych w całej Unii. Pojawiają się też wątki dotyczące stosowania aktu o usługach cyfrowych (czyli przepisów dotyczących platform internetowych) czy suwerenności cyfrowej.

Najbardziej zainteresowała nas część dotycząca retencji danych. Komisja zauważa, że panująca obecnie w Europie różnorodność w tym zakresie nie ułatwia pracy służbom i nie sprzyja bezpieczeństwu. Dlatego jeszcze w pierwszej połowie 2025 r. zaproponuje „mapę drogową”, w której przedstawi prawne i praktyczne zasady sięgania po dane telekomunikacyjne w sposób, który będzie zarówno skuteczny, jak i zgodny z prawem.

Polski jakakolwiek kontrola będzie podniesieniem standardów 

To, co w większości krajów europejskich budzi obawy o zwiększenie nadzoru, dla Polski może oznaczać poprawę fatalnej dziś sytuacji, kiedy służby mają na wyciągnięcie ręki ogromne ilości danych, a przy tym nie mają żadnej kontroli.

O ile wydaje nam się, że harmonizacja zasad retencji danych jest pożądana, o tyle mieszane uczucia budzą w nas jednak zapowiedzi „przyjrzenia się” przez Komisję szyfrowanym komunikatorom. Dziś ich dostawcy nie muszą gromadzić żadnych danych (jeśli zaś je gromadzą, jak należący do Mety WhatsApp, muszą udostępniać je służbom na żądanie). Dlatego wiele osób ceniących sobie prywatność korzysta np. z Signala, który nie gromadzi żadnych metadanych (poza datą założenia konta).

Niepokój wzbudza to, że Komisja w swoich pracach chce oprzeć się na wnioskach wypracowanych przez grupę roboczą (High Level Group). W sygnowanym przez Komisję Europejską opracowaniu Council conclusions on access to data for effective law enforcement grupa robocza wskazuje na konieczność zobowiązania dostawców szyfrowanych komunikatorów do (co najmniej!) gromadzenia metadanych, takich jak adres IP czy numer portu. Dowodzi też, że z uwagi na szyfrowanie end-to-end służby nie mają jak kontrolować komunikacji – stąd konieczność stosowania oprogramowania szpiegującego, takiego jak Pegasus.

Problem w tym, że grupa ta złożona jest wyłącznie z przedstawicieli organów ścigania. Organizacje społeczne, w tym Panoptykon, już wcześniej krytykowały ją za brak przejrzystości. Zwracają też uwagę, że rozwiązania proponowane przez tę grupę podważają bezpieczeństwo i poufność komunikacji elektronicznej, w ten sposób narażając na szwank bezpieczeństwo ludzi i uderzając w prawa podstawowe. Domagają się, żeby jakiekolwiek zmiany, w tym harmonizacja zasad retencji danych, były zgodne z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (który w 2014 r. opowiedział się przeciwko powszechnej retencji danych – chociaż Polska nie respektuje tego wyroku, w wielu państwach po jego ogłoszeniu zmieniono zasady przechowywania danych).

Tekst pierwotnie ukazał się w portalu „Dziennika Gazety Prawnej”