„Nic nie zyskaliśmy, a straciliśmy prywatność” – Komisja Europejska ocenia dyrektywę o retencji danych, my oceniamy Komisję... i sytuację w Polsce

Spór o retencję danych w Unii Europejskiej wkroczył w kluczowy etap. W poniedziałek (18 kwietnia) Komisja Europejska opublikuje od dawna oczekiwany raport, w którym oceni funkcjonowanie kontrowersyjnej dyrektywy o retencji danych, przyjętej na fali walki z terroryzmem w 2006 r. Organizacje broniące praw człowieka krytykują i dyrektywę, i Komisję. Tymczasem w Polsce rząd zapowiada zmianę obowiązującego prawa dotyczącego retencji danych.

Retencja danych oznacza obowiązkowe zatrzymywanie informacji o wszystkich rodzajach połączeń elektronicznych na potrzeby bezpieczeństwa publicznego. Operatorzy telekomunikacyjni muszą przez dwa lata przechowywać dane o tym kto, kiedy, gdzie, z kim i w jaki sposób połączył się lub próbował połączyć, a następnie udostępniać te dane na każde żądanie służb specjalnych, policji, prokuratur i sądów.

Ten temat stał się głośny w Polsce po ujawnieniu, że billingi dziennikarzy były wykorzystywane przez służby specjalne do tropienia źródeł dziennikarskich, a na tle Europy przodujemy pod względem liczby zapytań służb i innych uprawnionych podmiotów o dane telekomunikacyjne, jakie co roku trafiają – bez kontroli sądu – do operatorów.

Nic nie zyskaliśmy

Europejska koalicja organizacji broniących praw cyfrowych (EDRi) – w tym Fundacja Panoptykon – opublikowała dziś swój „raport cień”, w którym wykazujemy, że dzięki retencji danych obywatele w zasadzie nic nie zyskali w sferze bezpieczeństwa, a wiele stracili w sferze prywatności. Dane zgromadzone przez Komisję Europejską na potrzeby oceny dyrektywy – w tym uzyskane od polskiej policji – nie potwierdziły, że retencja jest niezbędna do skutecznej walki z przestępczością.

Wręcz przeciwnie: statystyki pokazały, że zdecydowana większość danych wykorzystywanych przez organy ścigania również byłaby dostępna bez obowiązkowej retencji danych (głównie dlatego, że są one gromadzone w celach komercyjnych). Brak korelacji pomiędzy skuteczną walką z przestępczością, a obowiązkową retencją pokazuje też dobitnie doświadczenie państw, w których retencji nie ma – a liczba wykrywanych przestępstw nie maleje. Takim krajem są m.in. Niemcy.

Straciliśmy prywatność

Podczas gdy nie ma dowodów na korzyści, bardzo ewidentne są koszty retencji: 500 milionów Europejczyków doświadcza bezprecedensowego i niepotrzebnego naruszenia ich praw podstawowych. W 2010 r. dane o połączeniach i lokalizacji przeciętnego Europejczyka były rejestrowane co sześć minut! Zdaniem Europejskiego Inspektora Ochrony Danych, retencja danych stanowi „najbardziej inwazyjny instrument kiedykolwiek przyjęty przez Unię Europejską”.

W przypadku tak daleko idącego ograniczenia prywatności nie wystarczy wykazanie, że retencja jest „przydatna” w pracy służb (co do czego nie ma wątpliwości). Zgodnie z obowiązującym prawem – w tym Kartą Praw Podstawowych – ograniczenia praw podstawowych muszą być niezbędne do osiągnięcia celu, jaki realizują (w tym wypadku skutecznej walki z przestępczością).

Tej niezbędności raport Komisji nie wykazał i dlatego właśnie wzywamy Komisję do odrzucenia obowiązkowej retencji danych. Europejscy obywatele zapłacili bardzo wysoką cenę za wprowadzenie dyrektywy. Chodzi nie tylko o ograniczenie prawa do prywatności, ale także chaos i bezprawie w przetwarzaniu danych osobowych. Ucierpiała także z trudem wywalczona wiarygodność Europy, jako obrońcy praw podstawowych.

Raport Komisji i nasz „raport cień” pokazują, że dyrektywa okazała się porażką na każdym poziomie: zagrożone zostały podstawowe prawa Europejczyków, nie udało się zharmonizować reguł przechowywania danych na potrzeby rynku wewnętrznego, a w dodatku te straty nie były niezbędne w walce z przestępczością.

Co proponuje Komisja Europejska i co to znaczy dla Polski?

W swoim raporcie Komisja niezmiennie twierdzi, że retencja danych jest „przydatna” (useful) i dlatego powinna zostać, natomiast prawo europejskie powinno wprowadzić zdecydowanie ostrzejsze warunki jej stosowania. Komisja rekomenduje przede wszystkim: krótszy niż obecnie czas przechowywania danych; ograniczenie dostępu do danych (do tych organów, którym to jest naprawdę niezbędne); ograniczenie celów, w jakich dane telekomunikacyjne mogą być wykorzystywane (np. poprzez doprecyzowanie katalogu najcięższych przestępstw); ograniczenie kategorii danych, jakie są przechowywane; zagwarantowanie, że dane nie będą wykorzystywane do "szukania haków" czy „drążenia" (data mining).

Komisja chce też wprowadzić obowiązek szczegółowego raportowania - czyli rozliczania się przez państwa (i ich służby) z tego, w jakich celach, jak często i z jaki skutkiem retencja danych jest stosowana. Wreszcie, Komisja proponuje dalej idącą harmonizację, czyli ujednolicenie reguł zatrzymywania i wykorzystywania danych telekomunikacyjnych dla wszystkich państw, w tym zagwarantowanie operatorom zwrotu kosztów.

Dla Polski te propozycje będą oznaczały konkretne zmiany – na lepsze, ponieważ w tym momencie mamy prawdopodobnie najgorsze (z punktu widzenia praw obywatelskich) przepisy o retencji danych w Europie. Można się też spodziewać wyraźniej zmiany w podejściu do korzystania z danych telekomunikacyjnych, kiedy policja i służby będą musiały ponosić koszty realizacji swoich zapytań. W tym momencie mają tę usługę za darmo, co może częściowo wyjaśniać dlaczego tak chętnie z niej korzystają.

Polska poniżej „średniej” w UE

Sytuacja w Polsce, na tle innych państw UE, jest wyjątkowo zła. Polskie prawo umożliwia wykorzystywanie danych telekomunikacyjnych nie tylko do wykrywania najcięższych przestępstw (co było celem dyrektywy), ale też w ogólnie pojętych „celach prewencyjnych”, a nawet w sporach cywilnych, np. sprawach rozwodowych. Wszystkie uprawnione służby mają dostęp do tych danych bez kontroli sądu i prokuratora. To stwarza bardzo wysokie ryzyko nadużyć, co dobitnie widać w statystykach. W 2009 r. policja, służby specjalne i sądy sięgały do naszych danych telekomunikacyjnych ponad milion razy. Na podstawie nowych danych wiemy, że w 2010 r. ta liczba zwiększyła się o ponad 1/3 i wyniosła ponad 1 300 000.

Tymczasem nie wszystkie państwa Unii Europejskiej uznają blankietową retencję danych za uzasadnione ograniczenie prywatności. W Niemczech i Rumunii, a kilkanaście dni temu także w Czechach, trybunały konstytucyjne uznały przepisy dotyczące retencji za sprzeczne z konstytucją mimo, że obwarowane były rozmaitymi warunkami, czego nie ma w Polsce.

Co dalej?

Obecna sytuacja wymaga niezwłocznej zmiany prawa, co przyznali także przedstawiciele rządu w czasie ostatniego spotkania Premiera z organizacjami społecznymi w sprawie regulacji Internetu (7 kwietnia). Nad przeglądem i zaproponowaniem zmian polskich przepisów o retencji już pracuje zespół pod kierunkiem min. Cichockiego. Zespół ma opublikować swoje wnioski do 30 czerwca br.

Tymczasem w Brukseli będą rozstrzygać się dalsze losy dyrektywy o retencji danych. Raport Komisji z oceny dyrektywy ma rozpocząć proces jej rewizji - zmiany lub uchylenia. Żeby wpłynąć na ten proces, koalicja europejskich organizacji walczących o prawa cyfrowe (EDRi) wyśle swój „raport cień” do Parlamentu Europejskiego. Wezwiemy posłów do uchylenia dyrektywy o retencji danych i stanięcia w obronie prawa do prywatności 500 milionów Europejczyków.

PEŁNY TEKST NASZEGO RAPORTU-CIENIA

PEŁNY TEKST RAPORTU KOMISJI EUROPEJSKIEJ (dodano 18 kwietnia)