Rząd na tacy oddaje nasze dane służbom. Wbrew Unii

Jak pokazują dwa głośne przypadki, mimo tak łatwego dostępu i tak system nie zadziałał, jak trzeba. W listopadzie w 2023 r. w Andrychowie zmarła 14-letnia dziewczynka. Zasłabła w drodze do szkoły i nie udało jej się na czas udzielić pomocy. Potem cała Polska żyła poszukiwaniami kobiety w Krakowie, która na początku tego roku zmarła z wychłodzenia kilkaset metrów od domu. Obie miały przy sobie czynny telefon komórkowy, ale ich nie zlokalizowano. System nie zadziałał. I tu nowa prawo wprowadza dobre zmiany. Jednym z celów Prawa Komunikacji Elektronicznej (PKE) jest uruchomienie funkcji lokalizowania osób wzywających pomocy poprzez numery alarmowe. W PKE przewidziano uruchomienie systemu Advanced Mobile Location (AML), który umożliwia przekazywanie dokładnej lokalizacji podczas trwania połączenia głosowego z numerem alarmowym. To może znacznie skrócić czas reakcji służb ratunkowych i zwiększyć szanse na uratowanie życia. — AML nie narusza prywatności użytkowników, a dane lokalizacyjne są udostępniane tylko podczas połączenia z numerem alarmowym i następnie są usuwane. Stwierdzenie, że "system nie zadziałał", jest zatem nieprecyzyjne i nie odnosi się do faktycznej funkcjonalności AML w kontekście lokalizowania osób wzywających pomocy — zaznacza resort.

Ważne są jednak jeszcze inne zmiany, o które walczą i przedsiębiorcy, i organizacje społeczne. Chodzi o dostęp do danych i miejsce ich przechowywania. Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners specjalizującej się w prawie nowych technologii, nie ma wątpliwości, że obowiązujący i projektowany przepis ma na celu wymuszenie przechowywania danych na terytorium Polski.

Czytaj też: Zgody marketingowe prawie jak spam. Czy będzie ich mniej? [ANALIZA PRAWNA]

Służby chcą dane o telefonach i dostają

Przedsiębiorcy telekomunikacyjni mają bezwarunkowy obowiązek przechowywania informacji o wszystkich klientach przez dwanaście miesięcy, a także udostępniania ich policji i służbom specjalnym. Tak przewiduje art. 180 obowiązującego Prawa telekomunikacyjnego oraz projektowany art. 47 nowego Prawa komunikacji elektronicznej. Chodzi o takie dane jak dostęp do lokalizacji telefonów komórkowych czy wykazu połączeń, informacje skąd, kiedy i do kogo dzwoniliśmy.

Co więcej to w rozporządzeniu prezesa Rady Ministrów będzie określony szczegółowy sposób udostępnienia danych oraz wymagania dotyczące rodzaju, struktury, sposobu zapisu oraz elektronicznego formatu udostępnianych. Z kolei minister cyfryzacji w porozumieniu z ministrem spraw wewnętrznych oraz po zasięgnięciu opinii ministra koordynatora służb specjalnych określi szczegółowy wykaz danych, a także rodzaj przedsiębiorców telekomunikacyjnych niepodlegających obowiązkowi zatrzymywania i przechowywania tych danych. Tu z kolei spór idzie o to, czy należy też przekazywać służbom dane z szyfrowanych komunikatorów, jak Signal czy Whats App.

Ministerstwo Cyfryzacji podkreśla jednak, że przepisy PKE nie narzucają obowiązku przechowywania danych na terenie RP. — W przypadku kontroli operacyjnej, dostęp do danych wymaga pisemnej zgody prokuratora krajowego oraz postanowienia sądu. Dostęp do danych, w tym treści komunikatów, jest zatem dodatkowo chroniony przez uprzednią kontrolę sądową i dotyczy jedynie poważnych przestępstw — zaznacza resort.

Najważniejszy problem jest jeszcze gdzie indziej. Jak wskazuje Fundacja Panoptykon, ale także Adam Szłapka, minister do spraw Unii Europejskiej, zarówno obowiązujący art. 180, jak i projektowany art. 47 PKE są niezgodne z prawem Unii Europejskiej, co potwierdzają liczne wyroki Trybunału Sprawiedliwości UE. Chodzi o dwie sprawy.

Spór o zakres przechowywanych danych

TSUE uważa, że gromadzenie danych powinno być stosowane w wyjątkowych sytuacjach, kiedy istnieje poważne zagrożenie dla bezpieczeństwa narodowego, a posłużenie się analizą tych danych musi podlegać skutecznej kontroli sądu lub niezależnego organu administracyjnego.

Ponadto gromadzenie danych powinno być ograniczone do osób, wobec których istnieje uzasadniony powód, by podejrzewać zaangażowanie w działalność terrorystyczną. To oznacza, że prawo nie może nakładać uogólnionego i niezróżnicowanego obowiązku transmitowania danych służbom w celu ochrony bezpieczeństwa narodowego czy porządku i bezpieczeństwa publicznego.

"Dane o aktywności każdego klienta przedsiębiorstw telekomunikacyjnych, a więc w praktyce każdego z nas, nie powinny być przechowywane "na wszelki wypadek", a jedynie w ściśle określonych warunkach wskazanych w orzecznictwie TSUE. Ignorowanie orzeczeń Trybunału wraz z brakiem szerszych zmian związanych z informowaniem jednostek o fakcie bycia przedmiotem zainteresowania ze strony policji czy służb specjalnych utrzymuje wysokie ryzyko nadużyć i bezpodstawnej inwigilacji, której ekstremalnym przykładem było ujawnione stosowanie oprogramowania szpiegującego Pegasus" — podkreśla Fundacja Panoptykon.

Uważa, że nowa ustawa, którą na początku maja przyjął rząd, mająca implementować prawo unijne, nie powinna zawierać niezgodnych z nim rozwiązań.

Stanowisko Adama Szłapki jest mniej stanowcze. Rozumie, że wysoko skomplikowany charakter materii pozwala na wypracowanie tych przepisów w odrębnej nowelizacji. A to może szybko nie nastąpić. MC stoi na stanowisku, że to nie ono jest odpowiedzialne za wdrażanie wyroków TSUE.

Czytaj też: Bogaci nie będą łatwo szpiegowani. TSUE zmienia prawo

Spór o miejsce przechowywania danych

Zbyt szeroki dostęp do naszych danych, to niejedyny problem. Z obowiązującego i projektowanego przepisu wynika, że telekomy mają zatrzymywać i przechowywać dane na terytorium Rzeczypospolitej Polskiej. Co prawda Ministerstwo Cyfryzacji tłumaczy, że przecież projektowany przepis brzmi identycznie jak obowiązujący, a więc nic się nie zmienia i chodzi tylko o to, że przechowywane mają być dane wytworzone i przetworzone w Polsce, a nie że muszą być na serwerach zlokalizowanych w naszym kraju.

Przedsiębiorcy, w tym Amerykańska Izba Handlowa, widzą to inaczej.

— Wyjaśnienie resortu jest pewną wskazówką, jak interpretować ten niejasny przepis, ale to nie wystarczy. Powinna paść jasna deklaracja, kampania informacyjna, że dane można przechowywać poza Polską. Jest to bowiem jak najbardziej logiczne zarówno z prawnego, jak i organizacyjnego punktu widzenia — mówi nam jeden z przedsiębiorców. Telekomy bowiem, podobnie jak banki, coraz chętniej wykorzystują chmurę obliczeniową, a w efekcie serwery poza Polską. A czytając wprost obowiązujący i projektowany zapis — nie mogą.

— Zaproponowana w projekcie ustawy obligatoryjność retencji danych na terytorium Polski oznacza w praktyce zmuszenie przedsiębiorców telekomunikacyjnych do korzystania tylko z tych centrów danych, które znajdują się w Polsce. Jest to sprzeczne z zasadami funkcjonowania wspólnego rynku UE oraz RODO, które wspiera usuwanie przeszkód w przepływie chronionych danych osobowych w ramach EOG. Ponadto proponowany kształt regulacji nie wynika z obowiązywania innych kluczowych regulacji unijnych — podkreśla w stanowisku Tony Housh, przewodniczący Rady Dyrektorów Amerykańskiej Izby Handlowej w Polsce.

Polska Izba Informatyki i Telekomunikacji, podobnie jak inne organizacje, uważa, że zapis jest nieprecyzyjny i powoduje niejasność prawną. Można go bowiem interpretować tak, jak wskazuje resort cyfryzacji, ale też tak, że przechowywanie danych nie może odbywać się poza Polską. Wszystkie organizacje zgodnie postulują, aby ustawowo umożliwić przechowywanie danych firmom telekomunikacyjnym w państwach Europejskiego Obszaru Gospodarczego. Ministerstwo jednak broni swojego stanowiska, że przepis jest jasny i czytelny.

Maciej Gawroński nie ma wątpliwości, że przepis ma na celu wymuszenie przechowywania danych na terytorium Polski. — Takie ograniczenie wynika zapewne z negatywnych doświadczeń służby w pozyskiwaniu danych z zagranicy. Stanowi pośrednio pewne ograniczenie organizacyjne i finansowe, bo taka retencja kosztuje. Do oceny pozostaje, czy jest proporcjonalny z perspektywy wyjątku bezpieczeństwa. W sektorze bankowym przepisy o outsourcingu usług wymagają, aby bank kontraktowo zapewnił KNF prawo kontroli dostawcy usług także zagranicznego. Tam jednak cele kontroli nadzorczej nie wymagają działania "w czasie rzeczywistym" jak w przypadku telekomów. Ocenne jest zatem, czy proponowany wymóg retencji krajowej jest zgodny z prawem UE. Natomiast, gdyby wprost dopuścić retencję w UE, to taki wymóg byłby na pewno zgodny z prawem Unii — ocenia mec. Gawroński