Czy w 9 miesięcy uda się ograniczyć dostęp służb do billingów?

Artykuł
element dekoracyjny

Przewodniczący senackiej Komisji Praw Człowieka, Praworządności i Petycji, Michał Seweryński na wczorajszym posiedzeniu komisji postawił sprawę jasno: Senat nie będzie dłużej czekał, aż Ministerstwo Spraw Wewnętrznych zaproponuje wdrożenie wyroku Trybunału Konstytucyjnego (TK) i przejmuje inicjatywę. Chodzi o wyrok nakazujący stworzenie niezależnego mechanizmu kontroli nad policją i innymi służbami, kiedy sięgają po nasze dane telekomunikacyjne. Ponad rok temu Senat miał gotowy projekt ustawy, ale zawiesił nad nim prace ze względu na zapowiedzi rządu, że ten podejmie temat. Zostało już tylko dziewięć miesięcy na wdrożenie wyroku, a ustawy jak nie było, tak nie ma. Skąd ten opór materii po stronie rządu? I dlaczego nowe prawo jest tak pilnie potrzebne?

W 2006 r. – po zamachach terrorystycznych w Madrycie i Londynie – Unia Europejska zdecydowała się na radykalny krok: zbieranie „na wszelki wypadek” danych o wszystkich połączeniach telekomunikacyjnych. Tzw. dyrektywa retencyjna została okrzyknięta najbardziej ingerującym w prywatność prawem, jakie kiedykolwiek przyjęto w UE. Trzy lata później polski ustawodawca poszedł jednak jeszcze dalej: policja i służby specjalne dostały swobodny dostęp do billingów, danych o lokalizacji i tzw. danych abonenckich. W ubiegłym roku TK uznał, że tak szerokie uprawnienia zbyt głęboko ingerują w prawo do prywatności i nakazał zmianę przepisów. W maju mija dziewięć miesięcy od wyroku – połowa czasu, jaki rząd i parlament mają na zmierzenie się z tym zadaniem. 

MSW zapewnia, że pracuje nad dostosowaniem prawa do wytycznych TK, jednak żaden dokument nie ujrzał jeszcze światła dziennego ani nie został poddany konsultacjom społecznym. Przy tak skomplikowanej i kontrowersyjnej materii rząd powinien zakładać kilka tur konsultacji i sam zadbać o żywą debatę publiczną. A tymczasem jakby jej unika. Cała nadzieja w determinacji Senatu, który w osobie Michała Seweryńskiego zapowiedział, że daje rządowi miesiąc na odniesienie się do senackiego projektu (tego samego, który już rok temu został opublikowany i poddany pod dyskusję) i oczekuje konstruktywnych uwag, a nie rozpoczynania pracy od nowa.

Na tym swoistym impasie legislacyjnym korzystają policja i służby specjalne, które nadal sięgają po billingi i inne dane telekomunikacyjne bez zewnętrznej kontroli. Jeśli przez kolejne dziewięć miesięcy rząd i parlament nie potraktują tego projektu priorytetowo i nie przeprowadzą rzetelnych, wielostronnych konsultacji – grozi nam pogorszenie prawa. Wpływ, jaki na kształt powstającego prawa mają trzy zmienne: zaangażowane środki, długość prac i poziom skomplikowania kwestii, byłby oczywisty dla każdego, kto zarządzał jakimkolwiek projektem (por. grafika). Z podniesionego tonu dyskusji na Komisji Praw Człowieka, Praworządności i Petycji wynika, że senatorzy dobrze rozumieją, ile czasu potrzeba na napisanie dobrej ustawy, i dlatego tak bezpardonowo dopingują Ministerstwo Spraw Wewnętrznych.

Czekając na reformę zasad udostępniania danych telekomunikacyjnych, przypominamy: skąd wziął się ten problem, jak poradzili sobie z nim nasi sąsiedzi i jakie działania – m.in. Fundacji Panoptykon, Rzecznika Praw Obywatelskich i sądów – doprowadziły do przełomu w postaci unieważnienia dyrektywy retencyjnej i wyroku polskiego Trybunału Konstytucyjnego. 

Polska walczy z terroryzmem

Państwa członkowskie podchodziły do wprowadzonego przez UE obowiązku zatrzymywania i udostępniania danych telekomunikacyjnych z różnym entuzjazmem – Polska była wówczas w niechlubnej czołówce. Byliśmy jednym z trzech państw, które nie stworzyło mechanizmu kontroli nad sięganiem po dane, i jedynym, które zdecydowało się przechowywać wszystkie rodzaje danych przez maksymalny okres, jaki dopuszczała dyrektywa (24 miesiące).

Klimat towarzyszący tym decyzjom oddają absurdalne argumenty, na jakie powołali się ustawodawcy: „Polska jest lub może być wykorzystywana jako zaplecze logistyczne lub punkt tranzytowy dla ugrupowań terrorystycznych. Z uwagi na położenie geograficzne Polski, na szlakach wschód–zachód i północ–południe, istnieje bardzo duże prawdopodobieństwo wykorzystania terytorium naszego państwa właśnie w ten sposób” (cytat z uzasadnienia ustawy).

Inne państwa – np. Szwecja i Austria – długo opierały przed wprowadzeniem europejskich przepisów. Z kolei w sąsiadujących z nami Niemczech, Czechach i Słowacji krajowe sądy konstytucyjne uznały przepisy wdrażające dyrektywę retencyjną za nadmiernie ingerujące w prywatność i je unieważniły.

W listopadzie 2010 r., po ujawnieniu przez Panoptykon informacji na temat potężnej liczby zapytań o dane telekomunikacyjne, w Polsce przynajmniej pojawiła się dyskusja: czy jesteśmy najbardziej inwigilowanym narodem Europy? Od tego momentu co roku będziemy publikować informacje (uzyskane nie tylko od UKE, ale z czasem także bezpośrednio od policji i innych służb) o rosnącej liczbie zapytań o billingi i pozostałe dane telekomunikacyjne. Mimo uderzającej tendencji wzrostowej – od 1 mln zapytań w 2009 r., do ponad 2 mln w 2014 r. – będziemy podkreślać, że w Polsce brakuje nawet spójnej metodologii ich liczenia i sprawozdawczości po stronie samych organów.

2013 – zbiera się lawina

Pod wpływem krytycznej debaty publicznej posłowie skracają o połowę okres (z 24 do 12 miesięcy), na jaki są zatrzymywane dane telekomunikacyjne – dla operatorów i służb ta zmiana wchodzi w życie w styczniu 2013 r. Nie rozwiązało to jednak problemu niekontrolowanego dostępu do danych, co potwierdziła sprawa dziennikarza Bogdana Wróblewskiego. W kwietniu 2013 r. Wróblewski wygrał sprawę przeciwko Centralnemu Biuru Antykorupcyjnemu, które bezpodstawnie pobierało jego billingi. Skończyło się na przeprosinach, jednak przekonanie, że prawo trzeba zmienić, zaczęło się przebijać w kolejnych kręgach. W wakacje Rzecznik Praw Obywatelskich i Prokurator Generalny skierowali do Trybunału Konstytucyjnego wnioski o stwierdzenie niezgodności z konstytucją przepisów, które pozwalały policji i innym służbom sięgać po dane. W październiku Najwyższa Izba Kontroli opublikowała raport, w którym sygnalizowała potrzebę pilnych zmian, m.in. wprowadzenia niezależnej kontroli nad pozyskiwaniem i wykorzystywaniem danych oraz rzetelnej sprawozdawczości.

2014 – zejście lawiny

2014 r. w całej Europie okazał się przełomowy dla walki z niekontrolowanym dostępem do danych telekomunikacyjnych: w kwietniu Trybunał Sprawiedliwości UE uznał, że dyrektywa retencyjna narusza Kartę Praw Podstawowych i od początku była nieważna. Za największy problem Trybunał uznał brak jakichkolwiek mechanizmów gwarantujących, że dane telekomunikacyjne będą wykorzystywane tylko w sprawie ścigania poważnych przestępstw, a dostęp do nich będzie kontrolowany przez sąd lub inny niezależny organ.

Orzeczenie TSUE wywołało drugą falę wyroków sądów konstytucyjnych, które stwierdziły, że krajowe przepisy naruszają podstawowe prawa obywateli. Takie wyroki zapadły m.in. w Austrii, Słowacji i Rumunii. Również polski Trybunał Konstytucyjny uznał, że krajowe przepisy naruszają Konstytucję. Ograniczył się on jednak do stwierdzenia, że niedopuszczalny jest brak zewnętrznej (niezależnej) kontroli nad pozyskiwaniem danych telekomunikacyjnych. Inne problemy, takie jak wykorzystywanie danych nawet w związku z drobną przestępczością czy brak rzetelnej sprawozdawczości, pozostały bez odpowiedzi.

2015/2016 – pył opada. Co widać na horyzoncie?

Po unieważnieniu dyrektywy retencyjnej przez Trybunał Sprawiedliwości UE, z Brukseli płyną sprzeczne sygnały. Wydaje się jednak całkiem prawdopodobne, że Komisja Europejska nie podejmie ponownej próby uregulowania tej kontrowersyjnej materii. Co w tej sytuacji zrobią poszczególne państwa? Zobaczymy. Byłoby najlepiej, gdyby poszły w ślad za Niemcami i ucywilizowały zasady dostępu do billingów i innych danych telekomunikacyjnych. Zgodnie z dyskutowanym właśnie za naszą zachodnią granicą projektem, dane mają być przechowywane jedynie przez 10 tygodni, a niektóre (jak lokalizacja telefonu) – nawet przez 4. Dostęp do nich będzie możliwy wyłącznie za zgodą sądu i tylko na potrzeby ścigania najpoważniejszych przestępstw. Tak wygląda prawo, które rzeczywiście równoważy względy prywatności i bezpieczeństwa.

Katarzyna Szymielewicz, Wojciech Klicki

Więcej na ten temat:

Przewodnik: Telefoniczna kopalnia informacji

Historia batalii o zmianę zasad udostępniania danych telekomunikacyjnych policji i innym służbom

Infografika: Deakada bez kontroli

Komentarze

1) Powoływanie się na rozwiązania niemieckie jest swego rodzaju nadużyciem. Mało kto wspomina o tym, że funkcjonują tam zupełnie inne rozwiązania prawne. Nie można się powoływać na niemieckie normy bo są one dostosowane do ich systemu. Aby zastosować je w Polsce zmianie musiałby ulec system prawny.
2) Pomimo niemieckiego porządku i praworządności jakoś nie udało im się uniknąć wpadek, jak np. niezbyt chwalebna współpraca niemieckich służb specjalnych z NSA.
3) Krok zrobiony w kierunku ograniczenia dostępu do danych telekomunikacyjnych poprzez skrócenie okresu retencji do 12 miesięcy już skutecznie uniemożliwił ściganie pewnych kategorii przestępstw.
4) Pani Szymielewicz występowała jakiś czas temu w programie telewizyjnym gdzie m.in. poruszano problem danych telekomunikacyjnych. Była tam też jakaś inna pani, która opisywała historię zaginięcia jakiejś młodej dziewczyny. Nie słyszałem, aby Pani Szymielewicz negowała potrzebę sięgania po dane telekomunikacyjne w tej sprawie.
To jak to się ma do hasła "tylko na potrzeby ścigania najpoważniejszych przestępstw"?
Przecież zaginięcie to nie przestępstwo.

Postulujemy, by udostępnianie organom ścigania danych wyłącznie w sprawach poważnych przestępstw było zasadą, od której dopuszczalne powinny być wyjątki. W naszym stanowisku do Senatu w sprawie projektu wskazaliśmy, że takim wyjątkiem może być np. stalking, ale także poszukiwanie osób zaginionych. Co więcej, dostrzegamy konieczność możliwości sięgania po dane w sprawach "niepoważnych" przestępstw, jeśli zostały one popełnione za pośrednictwem środków komunikacji elektronicznej.
http://www.senat.gov.pl/gfx/senat/userfiles/_public/k8/komisje/2015/kpcp...
Jednak naszym zdaniem najważniejsze jest wprowadzenie merytorycznej i zewnętrznej względem służb kontroli nad sięganiem po dane. I w tym upatrywaliśmy zawsze największy problem, a nie w długości retencji danych. Jeśli uda się ograniczyć katalog sytuacji uprawniających do sięgnięcia po dane oraz wprowadzić zewnętrzną kontrolę - sama długość przechowywania danych stanie się drugoplanowa.
No i na koniec odwołanie do Niemiec; oczywiście zdaję sobie sprawę, że obowiązuje tam inny porządek prawny, jak w każdym państwie. Niemcy mają też swoje ogromne problemy związane z kontrolą nad służbami i ich współpracą z NSA. Nie uniemożliwia to jednak moim zdaniem porównywania sposobu wdrożenia dyrektywy retencyjnej, który jest diametralnie inny.

Nie doszukałem się w wyroku TK ograniczenia dostępu do danych transmisyjnych poddanych retencji. TK swoim wyrokiem narzuca obowiązek utworzenia warstwy kontrolnej. W moim rozumieniu:
- retencja była jest i będzie; TK nie nakazał zmian w prawie telekomunikacyjnym;
- dostęp do danych będzie nadal nieograniczony tyle, że z możliwością kontroli (kto kogo, jak i wg jakich kryteriów będzie kontrolował?)

@psb - naszym zdaniem wprowadzenie niezależnej zewnętrznej kontroli jest ograniczeniem sięgania po dane. Jednak faktycznie TK nie odniósł się do samej koncepcji przechowywania przez operatorów wszystkich danych i udostępniania ich służbom: nawet nie mógł tego zrobić, bo ani RPO ani Prokurator Generalny tego nie podważali. A więc póki co faktycznie "retencja była jest i będzie", a ograniczony zostanie dostęp służb do danych. Mamy przy tym nadzieję, że zmiany nie będą dotyczyć wyłącznie wprowadzenia organu kontrolnego (co narzucił TK), ale również ograniczą dostęp do "poważnych przestępstw" (z wyjątkami, o których pisałem wcześniej) - takie wskazówki wynikają z wyroku Trybunału Sprawiedliwości UE ws. dyrektywy retencyjnej.

Akurat jeśli chodzi o kwestię osób zaginionych rozwiązanie byłoby proste - niech każda dorosła osoba decyduje o swojej prywatności/bezpieczeństwie w umowie zawartej z operatorem. Np. ja w ogóle nie godziłbym się na przechowywanie danych na temat lokalizacji mojego telefonu, a ktoś inny, mający inne priorytety, mógłby chcieć by takie dane na jego temat były zapisywane i przechowywane przez najbliższe 50 lat (oczywiście zapewne za to dopłacając - czemu trudno się dziwić).
Nie zgadzam się ze stwierdzeniem Pana Wojciecha Klickiego, że w przypadku odpowiedniej regulacji dostępu do danych długość ich retencji jest sprawą drugorzędną. Nie wierzę w idealnie bezpieczne bazy danych ani idealnie przestrzegane procedury - jedyną gwarancją niekontrolowanego wycieku danych jest po prostu ich nie gromadzenie :) Kto jak kto ale przedstawiciele Panoptykonu powinni to rozumieć - trochę niepokoi mnie taka nagła pobłażliwość w tym zakresie.

Pewnie nieprecyzyjnie się wyraziłem - naszym zdaniem kontrola jest fundamentalna i to na niej powinna się teraz koncentrować nasza uwaga. Długość przechowywania również jest istotna, przy czym chodzi nie tylko o czas przechowywania danych przez operatorów, ale również później - przez służby.

Moim zdaniem w całej tej dyskusji pomija się kilka ważnych aspektów.
1. Nie da się w pełni kontrolować inwigilacyjnych zapędów uprawnionych podmiotów. Im większy nacisk będzie położony na kontrolowanie tym większe będzie dążenie, aby kontroli uniknąć. To co widać na gruncie amerykańskim. Instytucje rządowe z "czystym sumieniem" deklarują, że działają zgodnie z prawem. Tak może być bo działania, które mogłyby prawo złamać są zlecane zewnętrznym/ prywatnym podmiotom. Jedynym ograniczeniem są tu finanse.
W naszej rzeczywistości spotkałem się już z takimi sytuacjami.
2. Dopóki informacje dotyczące obywateli są rozproszone nie stanowią nadmiernego zagrożenia ich prywatności. W polskich warunkach ich agregacja jest utrudniona. Wymaga stosunkowo dużo czasu, wiedzy specjalistycznej choćby w zakresie czy dane informacje są w ogóle dostępne, a jeżeli tak to gdzie i na jakich zasadach.
3. Wydaje mi się, że nie zawsze osoby podejmujące działania na rzecz ochrony prywatności mają świadomość co do realiów. W efekcie powstają akty prawne sprzeczne z oczekiwaniami. Przykładem może być monitoring wizyjny. Obecnie nie wiadomo gdzie jest, często nie wiadomo kto nim dysponuje, w jakiej postaci jest dostępny i jak długo. Proponowane zapisy prawne unormują to. Wtedy wystarczy jedno hasło i będziemy mieli pełen przegląd w danym rejonie. Czy to ułatwi inwigilację czy utrudni?

Dodaj komentarz