Komisja Europejska przygotowuje „ocenę skutków regulacji” dla nowej dyrektywy o retencji danych – my wskazujemy, jak należy zrobić to rzetelnie

Artykuł

Koalicja European Digital Rights, do której należy Fundacja Panoptykon, wystosowała do Komisji Europejskiej list otwarty w sprawie rewizji dyrektywy o retencji danych (2006/24/WE). Komisja Europejska przygotowuje propozycję nowej, zrewidowanej dyrektywy, która ma się pojawić na początku przyszłego roku. Tymczasem czeka nas bardzo istotny etap – tzw. ocena skutków regulacji. Jeszcze w tym roku Komisja opublikuje raport, w którym mają być przeanalizowane różne scenariusze regulacyjne – od rezygnacji z obowiązkowej retencji danych po nieznaczne zmiany w obowiązującym reżimie prawnym – oraz ich możliwe skutki. Żeby wesprzeć Komisję w tym kluczowym momencie, opisujemy, jakie czynniki i scenariusze eksperci DG Home (Dyrekcji ds. wewnętrznych) muszą wziąć pod uwagę przy opracowywaniu swojego raportu.



Wskazujemy m.in. na następujące problemy:

Czy obowiązkowa retencja danych jest konieczna i proporcjonalna?

Założenia dotyczące konieczności i proporcjonalności retencji danych można zweryfikować jedynie poprzez zbadanie alternatywnych rozwiązań w każdym aspekcie dyrektywy. W praktyce, Komisja Europejska powinna poddać weryfikacji następujące aspekty:
-  rodzaje danych przetwarzanych przez operatorów telekomunikacyjnych,
-  rodzaje danych zatrzymywanych na potrzeby walki z przestępczością,
-  czas przechowywania poszczególnych rodzajów danych,
-  stopień, w jakim zatrzymywane dane rzeczywiście pomagają w egzekwowaniu prawa.

Ponadto, dla uwiarygodnienia oceny skutków dyrektywy, ważne jest, by nie popełnić błędu, który pojawił się w raporcie z ewaluacji dyrektywy (COM/2011/225). W tym – krytykowanym przez nas – dokumencie konieczność i proporcjonalność zatrzymywania danych oraz konieczność wprowadzenia dyrektywy o retencji danych zostały potraktowane jak jedna i ta sama kwestia. Oba postulaty należy przeanalizować oddzielnie, by sprawdzić czy zatrzymywanie danych „rzeczywiście odpowiada celom interesu ogólnego” i jest „proporcjonalne do wyznaczonego celu” oraz czy dyrektywa jest niezbędna do jego realizacji.

O dostepie do jakich danych w istocie rozmawiamy?

Inną nieścisłością we wspomnianym raporcie, którą na tym etapie trzeba bezwzględnie skorygować, jest ogólne odniesienie do zatrzymywanych danych – bez  doprecyzowania, czy chodzi o dane zatrzymywane w związku z prawnym obowiązkiem, czy z własnej inicjatywy operatorów telekomunikacyjnych.

Dla rzetelności oceny skutków utrzymania obowiązku retencji danych, Komisja powinna się odnosić tylko i wyłącznie do pozyskiwania danych, które nie byłyby dostępne bez dyrektywy o retencji danych i które nie stanowią danych dostępnych na podstawie dyrektywy o ochronie prywatności w związku z komunikacją elektroniczną (2002/58/WE).

Jakie są alternatywy dla obowiązkowej retencji danych?

Trzeci aspekt, do którego Komisja Europejska bezwzględnie powinna się odnieść przy opracowywaniu  oceny skutków regulacji, jest dostępność alternatyw dla obowiązkowej retencji danych. A zatem, Komisja powinna przeanalizować następujące scenariusze:

  • ogólnoeuropejski zakaz blankietowej retencji danych

Przypadki wykorzystywania danych, przytoczone w pierwotnej wersji oceny skutków dyrektywy (opracowanej w 2006 r.), mają niewiele wspólnego z merytorycznymi dowodami na to, że retencja danych telekomunikacyjnych generowanych przez wszystkich obywateli, bez wyjątku, jest rzeczywiście konieczna. W niektórych z analizowanych przykładów, dane telekomunikacyjne byłyby dostępne także w braku obowiązku wynikającego z dyrektywy. Jeżeli blankietowa retencja danych nie jest konieczna, a wręcz może przynieść więcej strat niż korzyści oraz osłabić rynek wewnętrzny, Komisja Europejska powinna dążyć do wyeliminowania rozwiązań prawnych, które stanowią przeszkodę dla rozwoju Unii Europejskiej.

  • zastąpienie dyrektywy mniej restrykcyjnymi rozwiązaniami, jak np. wybiórcze zamrażanie danych i ich krótsze przechowywanie

Przygotowując raport z ewaluacji dyrektywy, Komisja nie podjęła działań mających na celu zebranie informacji od Krajów Członkowskich, które jej w ogóle nie implementowały. Takie dane umożliwiłyby miarodajną ocenę skuteczności rozwiązań prawnych wprowadzonych przez tę dyrektywę. Komisja nie przeanalizowała również sytuacji w krajach, które wdrożyły rozwiązania proponowane w Konwencji Rady Europy o Cyberprzestępczości – przede wszystkim mechanizm szybkiego i wybiórczego zamrażania danych w związku z konkretnymi postępowaniami karnymi (tzw. quick freeze) oraz krótszy okres ich przechowywania. Ta alternatywa powinna być poddana szczegółowej analizie, aby można było bezsprzecznie stwierdzić, czy dostępność jakichkolwiek danych – poza zatrzymywanymi przez operatorów w sposób wybiórczy i na wyraźne żądanie uprawnionych organów – jest niezbędne i proporcjonalne oraz czy wymaga istnienia odrębnej dyrektywy.

  • rezygnacja z minimalnego okresu retencji danych oraz weryfikacja okresu maksymalnego

Unia Europejska może wprowadzać przepisy, które ograniczają podstawowe prawa obywateli, jednak musi stosować się do szczegółowych postanowień zawartych w Karcie Praw Podstawowych, Konwencji Praw Człowieka, oraz brać pod uwagę orzecznictwo sądów. W przypadku retencji danych, demokratycznie wybrana władza ustawodawcza oraz Trybunały Konstytucyjne kilku suwerennych Państw Członkowskich nie były i nie są zdania, że takie ograniczenie podstawowych praw obywateli jest, w świetle postanowień Europejskiej Konwencji Praw Człowieka, „konieczne w społeczeństwie demokratycznym.” W związku z tym, kraje te nie implementowały dyrektywy. Komisja prowadzi wobec nich postępowanie w sprawie naruszenia przepisów unijnych, odmawiając im swobody w transponowaniu wspólnotowych ram prawnych i nie biorąc pod uwagę zasady pomocniczości. W ten sposób wspomniane Państwa Członkowskie są zmuszane do łamania Konwencji Praw Człowieka. Niedopuszczalna jest sytuacja, w której kraje UE mają pewną dowolność, gdy chodzi o ograniczanie podstawowych praw obywatelskich, natomiast nie mają żadnej swobody, kiedy próbują stać na ich straży.

Jednym ze sposobów na uniknięcie tej niezdrowej sytuacji jest wprowadzenie maksymalnego okresu retencji danych, przy zniesieniu okresów minimalnych. Jeżeli, zdaniem Komisji, wnioski o przekazanie danych o charakterze międzynarodowym stanowią mniej niż 1% wszystkich wniosków związanych z retencją danych (i biorąc pod uwagę, że dane właśnie w takiej proporcji byłyby dostępne, przy zachowaniu skróconego okresu retencji), wówczas wspomniane rozwiązanie byłoby łatwe pod względem prawnego egzekwowania, jak również stwarzałoby odpowiedni „margines swobody” dla tych Państw Członkowskich, które uznają obowiązkową retencję danych za niekonstytucyjną.

Jak rzetelnie podejść do oceny alternatyw dla obowiązkowej retencji danych?

Trzeba pamiętać, że retencja danych jest tylko jednym ze środków pomocnych przy ściganiu poważnych przestępstw. Aby w sposób rzetelny ocenić skuteczność alternatywnych rozwiązań, Komisja Europejska powinna udzielić rzetelnych i popartych dowodami odpowiedzi na następujące pytania:

  • w ilu przypadkach wykrywanie, dochodzenie i zaskarżanie poważnych przestępstw było mniej skuteczne, ze względu na brak obowiązkowej retencji danych, która umożliwiłaby pozyskanie informacji istotnych dla procesu (ilość podana jako odsetek wszystkich poważnych przestępstw, w związku z którymi toczyło się śledztwo lub które były ścigane sądownie)?;
  • w przypadku ilu poważnych przestępstw, wspomniane dodatkowe dane miały realny wpływ na przebieg postępowania (ilość podana jako odsetek wszystkich poważnych przestępstw, które były ścigane sądownie)?;
  • czy obowiązkowa retencja danych generuje więcej korzyści, czy raczej negatywnych skutków ubocznych (np. pojawienie się w świecie przestępczym nowych sposobów omijania kontrolowanych w ten sposób kanałów komunikacyjnych, zniechęcanie ofiar przestępstw lub osób uzależnionych do szukania pomocy w formie telefonów zaufania itp.)?;
  • czy obowiązkowa retencja danych (lub jej brak) ma istotny i znaczący wpływ na liczbę wykrytych poważnych przestępstw w poszczególnych Państwach Członkowskich? Jeżeli tak, o ile procent retencja danych pozwoliła zwiększyć liczbę wykrytych poważnych przestępstw?
  • czy wprowadzenie lub brak obowiązkowej retencji danych w przeszłości w znacznym stopniu wpłynęło na ilość wyroków skazujących, uniewinniających lub umorzeń w sprawach dotyczących poważnych przestępstw w poszczególnych krajach? Jeśli tak, to dokładnie o ile procent?


Pełna treść listu (w języku angielskim)

Pomoc w tłumaczeniu: Maciej Małaj

Dodaj komentarz