Nasze służby mogą żądać dostępu do billingów czy danych geolokalizacyjnych w zasadzie bez jakiegokolwiek uzasadnienia. Co więcej – policja dysponuje interfejsami, które pozwalają pobierać je bezpośrednio z baz operatorów telekomunikacyjnych. A operatorzy są zobowiązani przez rok takie dane przechowywać. Te regulacje są niezgodne z prawem unijnym – uznał wczoraj Trybunał Sprawiedliwości Unii Europejskiej. Choć wyrok nie dotyczył polskich przepisów, to znajduje do nich bezpośrednie zastosowanie.

– Mamy do czynienia, nie waham się użyć tego słowa, z rewolucją. Zgodnie z wyrokiem przepisy nie mogą zmuszać operatorów do przechowywania danych swych klientów. Co równie ważne, nawet jeśli dane są i tak gromadzone, np. na potrzeby reklamacji, to służby mogą mieć do nich dostęp dopiero po uzyskaniu zgody sądu lub innego niezależnego organu – mówi Wojciech Klicki z fundacji Panoptykon.

Najpierw zgoda sądu

Zgodnie ze środowym wyrokiem, aby uzyskać dostęp do danych telekomunikacyjnych, służby wpierw powinny uzyskać zgodę sądu lub innego niezależnego organu. Nie może być więc tak, jak to jest dzisiaj w Polsce, że policja sama pobiera dane, na których jej zależy, nie pytając nikogo o zdanie. Tylko w wyjątkowych sytuacjach, gdy zajdzie pilna potrzeba, dopuszczalne jest pominięcie procedury uzyskiwania zgody.

Zasady te można więc przyrównać do tych obowiązujących w naszym kraju przy kontroli operacyjnej (np. podsłuchach czy kontroli korespondencji). Aby ją zastosować, konieczne jest wcześniejsze uzyskanie zgody sądu. Tak też, zdaniem TSUE, powinno być w przypadku danych telekomunikacyjnych. Uznał on bowiem, że dostęp do nich również oznacza głęboką ingerencję w prywatność obywateli. Dzięki nim policja może się dowiedzieć nie tylko, z kim rozmawialiśmy przez komórkę, do kogo wysłaliśmy e-mail, ale także gdzie o danej godzinie przebywaliśmy.

– Trybunał wyraźnie podkreślił, że dostęp do takich danych jest możliwy wyłącznie na podstawie obiektywnych kryteriów oraz ograniczonego celu, jakim jest zwalczanie poważnej przestępczości. W ocenie TSUE dostęp powinien być realizowany w ramach odpowiednich i rzetelnych procedur, w szczególności przewidujących wymóg uzyskania uprzedniej zgody sądu lub innego niezależnego organu – podkreśla dr Dominik Lubasz, radca prawny i wspólnik zarządzający w kancelarii Lubasz i Wspólnicy.

– Warto przypomnieć, że analogiczne argumenty legły u podstaw negatywnej opinii Komisji Weneckiej o ustawie inwigilacyjnej oraz zostały podniesione przez rzecznika praw obywatelskich w zgłoszonym przez niego wniosku do Trybunału Konstytucyjnego o zbadanie zgodności ustawy inwigilacyjnej z konstytucją – dodaje.

Indywidualnie, nie zbiorowo

Trybunał zakwestionował również regulacje nakazujące operatorom przechowywanie danych telekomunikacyjnych przez określony czas (w Polsce jest to 12 miesięcy).

– Dla Polski oznacza to tyle, że istniejący obecnie mechanizm retencji danych (art. 180a i następne ustawy – Prawo telekomunikacyjne, tj. Dz.U. z 2016 r. poz. 1489 ze zm.) jest niezgodny z prawem Unii Europejskiej. Przewiduje bowiem „uogólnione i niezróżnicowane zatrzymywanie danych” – wyjaśnia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.

Czy oznacza to, że służby nie będą mogły uzyskać dostępu do jakichkolwiek danych? Niekoniecznie. Część z nich, np. billingi, i tak jest przechowywana przez operatorów w związku z ewentualnymi reklamacjami klientów. Nie ma jednak wątpliwości, że nasze przepisy dotyczące retencji danych muszą być znowelizowane.

– Generalny obowiązek retencji danych telekomunikacyjnych powinien zostać przekształcony na obowiązek indywidualny realizowany wyłącznie w celu zwalczania poważnej przestępczości. Przechowywanie takich danych ma być wyjątkiem, a nie zasadą, a zakres danych czy okres przechowywania ich nie może wykraczać poza to, co jest absolutnie konieczne dla zwalczania przestępczości – wyjaśnia dr Dominik Lubasz.

Innymi słowy, prawo nie może zobowiązywać operatorów do przechowywania danych telekomunikacyjnych wszystkich abonentów, jak leci, bo być może za kilka miesięcy służby uznają, że są im one do czegoś potrzebne. Dopuszczalne jest natomiast nałożenie na operatorów obowiązku przechowywania danych konkretnych osób czy grup, o których już wiadomo, że mogą mieć związek np. z terroryzmem.

– Zdaniem trybunału dostęp do danych pochodzących z retencji może zostać przyznany jedynie w przypadku osób podejrzewanych o planowanie, popełnianie czy też dopuszczenie się już poważnego przestępstwa bądź też zaangażowanych w taki czy inny sposób w takie przestępstwo – tłumaczy dr Paweł Litwiński.

Walka z terroryzmem

Trudno się spodziewać, że po tym wyroku polskie służby przestaną od razu sięgać po dane telekomunikacyjne. Co więcej, zebrane w ten sposób dowody nadal będą mogły być wykorzystywane w sądzie. Zgodnie z art. 168a znowelizowanego w tym roku kodeksu postępowania karnego dowodu nie można uznać za niedopuszczalny wyłącznie na tej podstawie, że został uzyskany z naruszeniem przepisów postępowania lub za pomocą czynu zabronionego. Niewykluczone jednak, że przy jakiejś ze spraw także polski sąd uzna za stosowne zadać pytanie prejudycjalne TSUE bądź też sam odwoła się wprost do prounijnej wykładni przepisów.

Służby podkreślają, że dostęp do billingów czy danych lokalizacyjnych pozwala im skuteczniej walczyć z przestępczością. Argumentacja ta jest przywoływana zwłaszcza wobec powtarzających się zamachów terrorystycznych.

– Czy jednak mogą one uzasadniać rezygnację z podstawowych praw obywatelskich? W mojej ocenie nie. I wyrok trybunału właśnie na to kładzie nacisk. Służby nadal mogą mieć dostęp do danych telekomunikacyjnych, ale tylko gdy jest to rzeczywiście uzasadnione ściganiem poważnych przestępstw i tylko pod kontrolą niezależnych organów. Trybunał stwierdził natomiast, że ich wygoda nie może uzasadniać tak dalekiej interwencji w prywatność – odpiera te zarzuty Wojciech Klicki.

Wyrok trybunału dotyczy nie tylko danych pozyskiwanych od operatorów komórkowych, ale także od dostawców internetu. Dostęp do nich umożliwia ustawa inwigilacyjna. Zdaniem prokuratury to właśnie dzięki tym przepisom udało się tak szybko namierzyć i zatrzymać na Malcie Kajetana P., bibliotekarza podejrzewanego o brutalne zabójstwo kobiety na warszawskiej Woli. Dostęp do danych z serwów byłby jednak możliwy także zgodnie z wytycznymi płynącymi z wyroku TSUE. Wymagałby jedynie uzyskania zgody sądu.