Polska ma niezgodne z prawem Unii przepisy o dostępie służb do lokalizacji naszych telefonów czy wykazu połączeń. Firmy telekomunikacyjne dają je policji czy innym służbom na tacy. Rząd może to zmienić przy okazji przygotowywania nowych regulacji, ale nie chce. I to mimo licznych stanowisk organizacji przedsiębiorców oraz społecznych, w tym reprezentujących USA.
- Prawo nakłada na przedsiębiorców telekomunikacyjnych bezwarunkowy obowiązek przechowywania informacji o wszystkich klientach przez dwanaście miesięcy oraz udostępniania ich policji i służbom specjalnym
- Do tych przepisów od lat uwagi zgłaszają i przedstawiciele biznesu, i organizacji społecznych. Jedni i drudzy twierdzą, że państwo żąda za dużo
- Ministerstwo Cyfryzacji nie widzi jednak potrzeby zmian, choć postulują je m.in. Amerykańska Izba Handlowa, Polska Izba Informatyki i Telekomunikacji czy Fundacja Panoptykon
- Nie widzi, bo dla służb lepiej, gdy mogą łatwo dostać informacje o tym, gdzie jest nasz telefon, skąd, do kogo i o której godzinie dzwoniliśmy
- Mimo to doszło do tragedii najpierw w Andrychowie, a potem w Krakowie. Dziewczynka i kobieta zmarły, bo nie skorzystano z możliwości lokalizacji ich telefonów
- Więcej informacji o biznesie znajdziesz na stronie Businessinsider.com.pl
Rząd na początku maja przyjął projekt ustawy Prawo komunikacji elektronicznej. Ma on dostosować nasze przepisy do unijnych i zastąpić obowiązujące prawo telekomunikacyjne. Projekt, który jest pilny, dopiero teraz trafił do Sejmu. Polska już płaci 4 mln euro kary w formie ryczałtu, a do tego dziennie 50 tys. euro. Projekt nadzoruje wiceminister Michał Gramatyka, obecnie zajęty kampanią wyborczą do Parlamentu Europejskiego. W tym projekcie brakuje dwóch ważnych zmian. O jedną walczą przedsiębiorstwa telekomunikacyjne, o drugą — organizacje społeczne. Chodzi o to, że służby mają zbyt łatwy dostęp do danych i nowe prawo powinno to zmienić. Co więcej służby chcą mieć także dostęp do danych z szyfrowanych komunikatorów, o co jest spór w rządzie.
Zobacz także: Jak brudne pieniądze z Rosji nauczyły Łotwę poważnie traktować sankcje
System nie działa mimo rygorystycznego prawa
Czytaj także w BUSINESS INSIDER
Jak pokazują dwa głośne przypadki, mimo tak łatwego dostępu i tak system nie zadziałał, jak trzeba. W listopadzie w 2023 r. w Andrychowie zmarła 14-letnia dziewczynka. Zasłabła w drodze do szkoły i nie udało jej się na czas udzielić pomocy. Potem cała Polska żyła poszukiwaniami kobiety w Krakowie, która na początku tego roku zmarła z wychłodzenia kilkaset metrów od domu. Obie miały przy sobie czynny telefon komórkowy, ale ich nie zlokalizowano. System nie zadziałał. I tu nowa prawo wprowadza dobre zmiany. Jednym z celów Prawa Komunikacji Elektronicznej (PKE) jest uruchomienie funkcji lokalizowania osób wzywających pomocy poprzez numery alarmowe. W PKE przewidziano uruchomienie systemu Advanced Mobile Location (AML), który umożliwia przekazywanie dokładnej lokalizacji podczas trwania połączenia głosowego z numerem alarmowym. To może znacznie skrócić czas reakcji służb ratunkowych i zwiększyć szanse na uratowanie życia. — AML nie narusza prywatności użytkowników, a dane lokalizacyjne są udostępniane tylko podczas połączenia z numerem alarmowym i następnie są usuwane. Stwierdzenie, że "system nie zadziałał", jest zatem nieprecyzyjne i nie odnosi się do faktycznej funkcjonalności AML w kontekście lokalizowania osób wzywających pomocy — zaznacza resort.
Ważne są jednak jeszcze inne zmiany, o które walczą i przedsiębiorcy, i organizacje społeczne. Chodzi o dostęp do danych i miejsce ich przechowywania. Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners specjalizującej się w prawie nowych technologii, nie ma wątpliwości, że obowiązujący i projektowany przepis ma na celu wymuszenie przechowywania danych na terytorium Polski.
Czytaj też: Zgody marketingowe prawie jak spam. Czy będzie ich mniej? [ANALIZA PRAWNA]
Służby chcą dane o telefonach i dostają
Przedsiębiorcy telekomunikacyjni mają bezwarunkowy obowiązek przechowywania informacji o wszystkich klientach przez dwanaście miesięcy, a także udostępniania ich policji i służbom specjalnym. Tak przewiduje art. 180 obowiązującego Prawa telekomunikacyjnego oraz projektowany art. 47 nowego Prawa komunikacji elektronicznej. Chodzi o takie dane jak dostęp do lokalizacji telefonów komórkowych czy wykazu połączeń, informacje skąd, kiedy i do kogo dzwoniliśmy.
Co więcej to w rozporządzeniu prezesa Rady Ministrów będzie określony szczegółowy sposób udostępnienia danych oraz wymagania dotyczące rodzaju, struktury, sposobu zapisu oraz elektronicznego formatu udostępnianych. Z kolei minister cyfryzacji w porozumieniu z ministrem spraw wewnętrznych oraz po zasięgnięciu opinii ministra koordynatora służb specjalnych określi szczegółowy wykaz danych, a także rodzaj przedsiębiorców telekomunikacyjnych niepodlegających obowiązkowi zatrzymywania i przechowywania tych danych. Tu z kolei spór idzie o to, czy należy też przekazywać służbom dane z szyfrowanych komunikatorów, jak Signal czy Whats App.
Ministerstwo Cyfryzacji podkreśla jednak, że przepisy PKE nie narzucają obowiązku przechowywania danych na terenie RP. — W przypadku kontroli operacyjnej, dostęp do danych wymaga pisemnej zgody prokuratora krajowego oraz postanowienia sądu. Dostęp do danych, w tym treści komunikatów, jest zatem dodatkowo chroniony przez uprzednią kontrolę sądową i dotyczy jedynie poważnych przestępstw — zaznacza resort.
Najważniejszy problem jest jeszcze gdzie indziej. Jak wskazuje Fundacja Panoptykon, ale także Adam Szłapka, minister do spraw Unii Europejskiej, zarówno obowiązujący art. 180, jak i projektowany art. 47 PKE są niezgodne z prawem Unii Europejskiej, co potwierdzają liczne wyroki Trybunału Sprawiedliwości UE. Chodzi o dwie sprawy.
Spór o zakres przechowywanych danych
TSUE uważa, że gromadzenie danych powinno być stosowane w wyjątkowych sytuacjach, kiedy istnieje poważne zagrożenie dla bezpieczeństwa narodowego, a posłużenie się analizą tych danych musi podlegać skutecznej kontroli sądu lub niezależnego organu administracyjnego.
Ponadto gromadzenie danych powinno być ograniczone do osób, wobec których istnieje uzasadniony powód, by podejrzewać zaangażowanie w działalność terrorystyczną. To oznacza, że prawo nie może nakładać uogólnionego i niezróżnicowanego obowiązku transmitowania danych służbom w celu ochrony bezpieczeństwa narodowego czy porządku i bezpieczeństwa publicznego.
"Dane o aktywności każdego klienta przedsiębiorstw telekomunikacyjnych, a więc w praktyce każdego z nas, nie powinny być przechowywane "na wszelki wypadek", a jedynie w ściśle określonych warunkach wskazanych w orzecznictwie TSUE. Ignorowanie orzeczeń Trybunału wraz z brakiem szerszych zmian związanych z informowaniem jednostek o fakcie bycia przedmiotem zainteresowania ze strony policji czy służb specjalnych utrzymuje wysokie ryzyko nadużyć i bezpodstawnej inwigilacji, której ekstremalnym przykładem było ujawnione stosowanie oprogramowania szpiegującego Pegasus" — podkreśla Fundacja Panoptykon.
Uważa, że nowa ustawa, którą na początku maja przyjął rząd, mająca implementować prawo unijne, nie powinna zawierać niezgodnych z nim rozwiązań.
Stanowisko Adama Szłapki jest mniej stanowcze. Rozumie, że wysoko skomplikowany charakter materii pozwala na wypracowanie tych przepisów w odrębnej nowelizacji. A to może szybko nie nastąpić. MC stoi na stanowisku, że to nie ono jest odpowiedzialne za wdrażanie wyroków TSUE.
Czytaj też: Bogaci nie będą łatwo szpiegowani. TSUE zmienia prawo
Spór o miejsce przechowywania danych
Zbyt szeroki dostęp do naszych danych, to niejedyny problem. Z obowiązującego i projektowanego przepisu wynika, że telekomy mają zatrzymywać i przechowywać dane na terytorium Rzeczypospolitej Polskiej. Co prawda Ministerstwo Cyfryzacji tłumaczy, że przecież projektowany przepis brzmi identycznie jak obowiązujący, a więc nic się nie zmienia i chodzi tylko o to, że przechowywane mają być dane wytworzone i przetworzone w Polsce, a nie że muszą być na serwerach zlokalizowanych w naszym kraju.
Przedsiębiorcy, w tym Amerykańska Izba Handlowa, widzą to inaczej.
— Wyjaśnienie resortu jest pewną wskazówką, jak interpretować ten niejasny przepis, ale to nie wystarczy. Powinna paść jasna deklaracja, kampania informacyjna, że dane można przechowywać poza Polską. Jest to bowiem jak najbardziej logiczne zarówno z prawnego, jak i organizacyjnego punktu widzenia — mówi nam jeden z przedsiębiorców. Telekomy bowiem, podobnie jak banki, coraz chętniej wykorzystują chmurę obliczeniową, a w efekcie serwery poza Polską. A czytając wprost obowiązujący i projektowany zapis — nie mogą.
— Zaproponowana w projekcie ustawy obligatoryjność retencji danych na terytorium Polski oznacza w praktyce zmuszenie przedsiębiorców telekomunikacyjnych do korzystania tylko z tych centrów danych, które znajdują się w Polsce. Jest to sprzeczne z zasadami funkcjonowania wspólnego rynku UE oraz RODO, które wspiera usuwanie przeszkód w przepływie chronionych danych osobowych w ramach EOG. Ponadto proponowany kształt regulacji nie wynika z obowiązywania innych kluczowych regulacji unijnych — podkreśla w stanowisku Tony Housh, przewodniczący Rady Dyrektorów Amerykańskiej Izby Handlowej w Polsce.
Polska Izba Informatyki i Telekomunikacji, podobnie jak inne organizacje, uważa, że zapis jest nieprecyzyjny i powoduje niejasność prawną. Można go bowiem interpretować tak, jak wskazuje resort cyfryzacji, ale też tak, że przechowywanie danych nie może odbywać się poza Polską. Wszystkie organizacje zgodnie postulują, aby ustawowo umożliwić przechowywanie danych firmom telekomunikacyjnym w państwach Europejskiego Obszaru Gospodarczego. Ministerstwo jednak broni swojego stanowiska, że przepis jest jasny i czytelny.
Maciej Gawroński nie ma wątpliwości, że przepis ma na celu wymuszenie przechowywania danych na terytorium Polski. — Takie ograniczenie wynika zapewne z negatywnych doświadczeń służby w pozyskiwaniu danych z zagranicy. Stanowi pośrednio pewne ograniczenie organizacyjne i finansowe, bo taka retencja kosztuje. Do oceny pozostaje, czy jest proporcjonalny z perspektywy wyjątku bezpieczeństwa. W sektorze bankowym przepisy o outsourcingu usług wymagają, aby bank kontraktowo zapewnił KNF prawo kontroli dostawcy usług także zagranicznego. Tam jednak cele kontroli nadzorczej nie wymagają działania "w czasie rzeczywistym" jak w przypadku telekomów. Ocenne jest zatem, czy proponowany wymóg retencji krajowej jest zgodny z prawem UE. Natomiast, gdyby wprost dopuścić retencję w UE, to taki wymóg byłby na pewno zgodny z prawem Unii — ocenia mec. Gawroński