Czy potrzebna nam ratyfikacja? Konwencja o cyberprzestępczości w fazie konsultacji

Konwencja Rady Europy o cyberprzestępczości to najważniejszy dokument międzynarodowy dotyczący zwalczania przestępczości komputerowej. Otwarto ją do podpisu w 2001 roku, ale do tej pory nie została ratyfikowana przez Polskę. W ostatnich latach podjęto szereg działań mających dostosować do niej krajowe prawo. Jednak ostatnio polski rząd znów zaczął interesować się Konwencją i mówić o potrzebie jej ratyfikacji. W ubiegłym tygodniu Ministerstwo Sprawiedliwości zorganizowało w tej sprawie wstępne konsultacje, na które została zaproszona także Fundacja Panoptykon.

Przedstawiciele Ministerstwa Sprawiedliwości twierdzą, że nie zapadła jeszcze decyzja w sprawie ratyfikacji Konwencji. Polska podpisała ją już 10 lat temu, wdrożono – w dużej mierze wadliwie – część jej przepisów. Teraz, z niewiadomych przyczyn, wrócono do pomysłu ratyfikacji. Rząd wyciągnął jednak lekcję z „wydarzeń ACTA” i przed podjęciem ostatecznej decyzji próbował sprawdzić, czy Konwencja o cyberprzestępczości wywoła podobne wydarzenia, jak te z początku roku. Temu właśnie służyło spotkanie w Ministerstwie Sprawiedliwości. Ze strony jego przedstawicieli, innych ministerstw oraz policji nie padła żadna deklaracja. My natomiast przedstawiliśmy pokrótce nasze stanowisko.

Naszym zdaniem jednym z ważniejszych i najbardziej kontrowersyjnych problemów związanych z Konwencją jest definicja cyberprzestępczości w kontekście tzw. działań haktywistycznych. Tego typu działania podejmowane są z założenia w interesie społecznym. Od cyberprzestępczości odróżnia je zatem ich symboliczny wymiar – nie wywołują przecież skutków poza internetem ani nie powodują szkód majątkowych czy zagrożenia życia lub zdrowia. Naszym zdaniem konieczne jest zatem wyraźne wyłączenie ich karalności.

Odnieśliśmy się ponadto do problemu proporcjonalności środków zabezpieczających przewidzianych w Konwencji. Zagrożenie nadużyciami może stwarzać szczególnie artykuł dotyczący przeszukania i zajęcia przechowywanych danych informatycznych. Przyjmując interpretację niekorzystną dla obywateli, państwa mogą korzystać z tego przepisu także w odniesieniu do osób nieobjętych zakresem podejrzenia.

Zwróciliśmy również uwagę na przepisy dotyczące przekazywania danych osobowych między państwami-stronami Konwencji. W przypadku ratyfikowania Konwencji bez zastrzeżeń, możliwość odmowy przekazania danych innemu państwu-stronie będzie poważnie ograniczona. Wdrożenie tych przepisów do polskiego prawa może stworzyć poważne zagrożenia dla prawa do prywatności i ochrony danych osobowych, podobne do sygnalizowanych w debacie na temat porozumienia ACTA.

Nawiązaliśmy także do opinii unijnej Grupy Roboczej Art. 29, która podkreślała, że Konwencja zawiera wiele niejasnych sformułowań, które należy doprecyzować. Według niej twórcy dokumentu nie uwzględnili wystarczająco tematyki ochrony prywatności i danych osobowych. Zauważyliśmy też brak jakichkolwiek nawiązań do zasad ochrony danych osobowych z tzw. Konwencji 108 (czyli Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, stworzonej w ramach Rady Europy), których przestrzeganie powinno być standardem dla stron Konwencji o cyberprzestępczości.

Stanowisko Fundacji Panoptykon w sprawie ratyfikacji Konwencji