Podstawy prawne retencji danych w Polsce – czyli problem przetrzymywania przez operatorów telekomunikacyjnych informacji o naszych połączeniach
Temat przetrzymywania przez operatorów telekomunikacyjnych szczegółowych informacji o naszych połączeniach (tzw. retencji danych telekomunikacyjnych) i ich udostępniania odpowiednim służbom oraz organom wraca już od dłuższego czasu. Warto przy tym przypomnieć, iż jest to obowiązek nałożony na operatorów zgodnie z prawem telekomunikacyjnym, który prócz pewnych aspektów natury „moralnej”, nakłada dosyć rozległe obowiązki w zakresie przechowywania danych, ich bezpieczeństwa oraz raportowania – czyli dosyć rozległej i kosztownej administracji.
Wątpliwości co do prawnych podstaw retencji danych w Polsce wzbudza już uchylenie przez Trybunał Sprawiedliwości Unii Europejskiej wyrokiem z 8 kwietnia 2014 r., tzw. „Dyrektywy retencyjnej” (sygn. akt C-293/12 i C-594/12). Dyrektywa stanowi podstawę do przechowywania przez operatorów telekomunikacyjnych danych o połączeniach telefonicznych obywateli UE (m. in. billingów, danych lokalizacyjnych) oraz podstawę dostępu do tych danych przez sądy, organy ścigania i służby specjalne państw członkowskich.
Trybunał zauważył, że retencja danych telekomunikacyjnych może głęboko ingerować w prawo do prywatności oraz prawo do ochrony danych osobowych. Analiza gromadzonych danych telekomunikacyjnych pozwala na rekonstrukcję kontaktów danej osoby, ustalenie miejsc pobytu abonenta w określonym czasie, czy rutyny poruszania się. Zdaniem Trybunału narzędzie to może być w pewnych sytuacjach dopuszczalne, ale tylko pod warunkiem narzucenia odpowiednich gwarancji jego stosowania, chroniących obywateli przed nieproporcjonalną ingerencją w ich prawa i wolności. Zdaniem Trybunału obowiązująca dyrektywa retencyjna nie spełnia tego wymogu. Dyrektywa nie określa wystarczająco rygorystycznych ram prawnych, które gwarantowałyby, że służby będą mogły korzystać z danych telekomunikacyjnych w niezbędnym zakresie i tylko w celu ścigania najpoważniejszych przestępstw. Nie wprowadza obowiązku poddania korzystania z retencji kontroli sądowej oraz nie precyzuje kryteriów, w oparciu o które należy uregulować okres zatrzymywania danych. Nie przewiduje także zróżnicowania w warunkach korzystania z retencji ze względu na różne kategorie danych telekomunikacyjnych oraz obowiązku niszczenia danych po upływie okresu retencji. Trybunał skrytykował także to, że dyrektywa nie nakłada obowiązku, by dane podlegające zatrzymaniu były przechowywane na terenie Unii Europejskiej.
„Wszystkie te problemy znajdują swoje odzwierciedlenie na gruncie polskiej regulacji retencji danych telekomunikacyjnych. Polskie prawo wymaga pilnego uporządkowania zasad gromadzenia i udostępniania danych telekomunikacyjnych, ponieważ krajowe przepisy utraciły fundament na gruncie prawodawstwa europejskiego.” – mówił niedawno w jednym z wywiadów prof. Maciej Rogalski. Dodał, że kolejne nowelizacje ustawy Prawo telekomunikacyjne wprowadziły liczne, niezwykle drobiazgowe, nowe obowiązki przedsiębiorców telekomunikacyjnych skutkujące znacznym poszerzeniem i zagmatwaniem umów o świadczeniu usług telekomunikacyjnych. Jego zdaniem niezbędne są zmiany upraszczające relacje dostawca usług – konsument oraz te dotyczące retencji danych.
Zgodnie z obecnymi zapisami Prawa telekomunikacyjnego oraz i kilku innych aktów prawnych (m.in. ustawach kompetencyjnych służb specjalnych czy prokuratury) dane objęte tzw. retencją (obowiązek gromadzenia danych przez operatorów) mogą być udostępniane wyłącznie w przypadku poważnych przestępstw. Przypomnieć należy jednak, że na podstawie art. 20c ust. 1 ustawy o Policji, w celu zapobiegania lub wykrywania przestępstw Policja może mieć udostępniane dane, o których mowa w ustawie Prawo telekomunikacyjne (czyli informacji do kogo należy numer telefonu komórkowego, wykazów połączeń, danych o lokalizacji telefonu oraz numeru IP komputera). Operatorzy muszą udostępniać je na własny koszt i na każde żądanie. Przy czym brak jest tutaj istotnego podziału na przestępstwa ścigane z oskarżenia publicznego i ścigane z oskarżenia prywatnego. Treść przepisu art. 20c ust. 1 ustawy o Policji pomija wymóg subsydiarności pozyskiwania danych i dopuszcza zarządzenie pozyskiwania danych praktycznie w każdej sytuacji, kiedy tylko stosowne służby zwrócą się do podmiotów prowadzących działalność telekomunikacyjną o udostępnienie takich danych. Natomiast prawidłowym rozwiązaniem byłaby możliwość skorzystania z tego przepisu dopiero gdy inne środki pozyskiwania informacji okazały się bezskuteczne, albo gdy zachodzi wysokie prawdopodobieństwo ich nieskuteczności.
Należy dodać, że 30 lipca 2014 roku Trybunał Konstytucyjny w wyroku w sprawie K 23/11 zakwestionował w zakresie zgodności z Konstytucją przepisy regulujące działanie służb specjalnych i Policji w przypadku pozyskiwania danych telekomunikacyjnych abonentów. Przepisy te dotyczą zarówno podejmowanej przez te podmioty kontroli operacyjnej jak i stanowią podstawę dla czynności operacyjno-rozpoznawczych.
Statystyki dotyczące żądania dostępu do danych objętych retencją wskazują na znaczne nadużywanie tego prawa. W 2014 r. służby, sądy i prokuratury złożyły łącznie 2 177 916 zapytań o dane telekomunikacyjne – czytamy w informacji przygotowanej przez Urząd Komunikacji Elektronicznej dla Fundacji Panoptykon.
Z uzyskanych danych wyłania się jednak ciekawy obraz proporcji rodzajów zapytań, które policja i inne służby kierowały do operatorów. Konkretnie chodzi o dane abonenckie, billingi i geolokalizację. W kategorii „inne” kryją się przede wszystkim zapytania o numer IP.
Szerokie uprawnienia przy jednoczesnym braku kontroli nad działaniami służb powodują, że dochodzi do wielu nadużyć. Dane telekomunikacyjne są wykorzystywane nie tylko do zwalczania poważnej przestępczości, ale także w celach prewencyjnych. To się może zmienić dzięki wyrokowi Trybunału Konstytucyjnego z lipca 2014 r., który dał ustawodawcy 18 miesięcy na zmianę przepisów. Podkreślić należy, ze przepisy dotyczące korzystania z retencji danych telekomunikacyjnych zostały dotychczas uznane za niekonstytucyjne m. in. w Niemczech, Rumunii i Czechach.
Propozycji nowych przepisów jeszcze nie ma. Obecnie w MSW trwają prace nad projektem ustawy, który będzie wykonaniem wyroku TK w zakresie prowadzenia kontroli operacyjnej i pozyskiwania danych telekomunikacyjnych – poinformowała w marcu rzeczniczka prasowa tego resortu Małgorzata Woźniak. W lutym projekt ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw, wykonujący wyrok TK, został wpisany przez Zespół ds. Programowania Prac Rządu do Wykazu Prac Legislacyjnych i Programowych Rady Ministrów.
Zakreślony przez Trybunał Konstytucyjny termin na uporządkowanie tego złożonego i bardzo wrażliwego obszaru życia – dotykającego wszystkich obywateli – mija pod koniec 2015 roku. Zostało już zatem stosunkowo niewiele czasu – mając też na uwadze zbliżające się jesienne wybory parlamentarne.
Krzysztof Szubert
ekspert BCC, minister ds. cyfryzacji w Gospodarczym Gabinecie Cieni BCC
