Chodzi o wyrok Trybunału Sprawiedliwości Unii Europejskiej, który zapadł w sprawie estońskiej. Skargę kasacyjną do Riigikohus (Sądu Najwyższego Estonii) – wniosła Estonka, żądając uchylenia orzeczeń pierwszej i drugiej instancji, zakończenia postępowania karnego przeciwko niej (dotyczącego kradzieży) oraz jej uniewinnienia. Podniosła, że protokoły zawierające dane uzyskane od przedsiębiorstwa telekomunikacyjnego nie są dopuszczalnymi dowodami, a jej skazanie na ich podstawie jest bezzasadne. 

Czytaj więc w LEX>>

Dostęp do danych przy każdym podejrzeniu

Sąd Najwyższy Estonii postanowił skierować pytanie prejudycjalne TSUE. Miał wątpliwości, czy rozpatrywane protokoły sporządzone przez organ dochodzeniowy na podstawie danych uzyskany zgodnie z ustawą o łączności elektronicznej, zażądanych od przedsiębiorstwa telekomunikacyjnego za zgodą prokuratury, można uznać za dopuszczalne. I - jak wskazał - czy przepisy dyrektywy o łączności elektronicznej należy interpretować, w ten sposób, że dostęp organów państwowych do danych, które pozwalają na ustalenie miejsca nawiązania i zakończenia połączenia telefonicznego osoby podejrzanej, jego datę, godzinę i czas trwania oraz rodzaj, użyte urządzenie łączności i lokalizację użytego urządzenia łączności ruchomej, stanowi na tyle poważną ingerencję w prawa podstawowe gwarantowane wspomnianymi artykułami karty, że dostęp ten musi być ograniczony do zwalczania poważnych przestępstw kryminalnych. 

Czytaj: 
Unia chce chronić przed inwigilacją, ale luzuje przepisy>>

Szykuje się masowa inwigilacja? Pod hasłem walki z terroryzmem nowe uprawnienia dla służb>>
 

TUSE zdecydowanie stawia granicę - także dla Polski

Trybunał Sprawiedliwości Unii Europejskiej wypunktował przede wszystkim dwie istotne kwestie. Po pierwsze, że niezgodne z dyrektywą unijną o prywatności i łączności elektronicznej są przepisy krajowe umożliwiającym dostęp organów władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanego przez niego urządzenia końcowego oraz umożliwić wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego, do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, bez ograniczania takiego dostępu do postępowań mających na celu zwalczanie poważnej przestępczości lub zapobieganie poważnym zagrożeniom bezpieczeństwa publicznego. 

Ocenił również, że prokuratura, której zadaniem jest kierowanie postępowaniem przygotowawczym oraz sprawowanie, w stosownych przypadkach, funkcji oskarżyciela publicznego w ramach późniejszego postępowania nie może wydawać zgody na dostęp organu publicznego do danych o ruchu i danych o lokalizacji. To - według TSUE - narusza i dyrektywę i kartę praw podstawowych. 

Wskazał również na wagę takich kwestii jak: niezależna ocena ważności ingerencji służb, dalej jej niezbędność, masowość, kategorie pozyskiwanych danych, długość okresu retencji. Dodał, że taki dostęp - ograniczony do najpoważniejszych przestępstw -  powinien podlegać uprzedniej kontroli sprawowanej przez sąd lub przez niezależny organ administracyjny.

 

Przestępstwo nie usprawiedliwia łamania procedur

Eksperci podkreślają, że ten wyrok - choć do tablicy wyrwano Estonię - będzie miał duże znaczenie dla Polski. Bo służby na całym świecie wraz z rozwojem nowych technologii, coraz chętniej sięgają po dane choćby z chmur.

- A jest to źródło nieograniczone. Daje szanse na uzyskanie takiego samego zakresu informacji jak na podstawie kontroli operacyjnej, a nie wymaga od służb specjalnych starań. Przykładowo z chmury, z internetu możemy ustalić gdzie i kiedy dane osoba przebywa, jak się przemieszcza, co robi, z kim się kontaktuje, jakich ma znajomych, z kim w danym miejscu jest. Słowem wszystko co potrzeba - mówi nieoficjalnie jeden z policjantów. 

Jacek Kudła, biegły i ekspert z zakresu czynności operacyjno-śledczych ostrzega służby przed nadużywaniem takich możliwości. Wskazuje przy tym, że popełnienie przestępstw to jedno, niezachowanie procedur przez służby to drugie. - Wypełnienie rzetelne procedur ustawowych w praktyce stanowi gwarancje zbierania "nieskażonego materiału dowodowego". O tym powinien pamiętać każdy funkcjonariusz - mówi.

O co jednak tyle hałasu? Kudła wskazuje, że przepisy muszą nadążać za zmianami technologicznymi. - Niestety ustawy dotyczące polskich służb nie do końca za nimi nadążają. Nie chodzi o to by ograniczać pracę służb, ale by nie dochodziło do masowego pozyskiwania danych i by było rzetelne wskazanie granic. TSUE wyraźnie mówi, że musi być katalog przestępstw, że musi chodzić o najpoważniejsze przestępstwa i że muszą być granice - wskazuje Kudła. 

Dodaje, że w tym zakresie Służba Ochrony Państwa jako jedyna ma taki katalog dotyczący do dostępu do danych. - Ale i w tym przypadku brakuje przepisów dotyczących choćby kontroli pozyskiwania danych. Ten wyrok powinien być bezpieczną sygnalizacją dla ustawodawcy krajowego, by to zostało uwzględnione w przyszłych zmianach legislacyjnych - mówi.

Czytaj: ETPC bada, czy polskie służby inwigilują obywateli - RPO składa opinię>>

Katalogu nie ma, służby mogą sięgać po dane kiedy chcą  

W przepisach oddzielnie uregulowana jest kontrola operacyjna, oddzielnie uzyskiwanie i przetwarzanie danych telekomunikacyjnych, pocztowych i internetowych. Tę ostatnią kwestię np. w przypadku policji reguluje art. 20 c Ustawy o Policji. Zgodnie z nim ma to następować w celu zapobiegania lub wykrywania przestępstw, przestępstw skarbowych albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych. Nie jest więc precyzyjnie określone, o jakie przestępstwa chodzi. 

- Z przepisu wynika, że o wszystkie. A to by z kolei oznaczało, że policja ma w tym zakresie szersze uprawnienia nawet od służb specjalnych. I podobnie jest z Strażą Graniczną, Żandarmerią Wojskową, Biurem Nadzoru Wewnętrznego, które tych katalogów nie mają, czyli formalnie funkcjonariusz może w sposób dowolny takie dane uzyskiwać - mówi Kudła.

W jego ocenie taki katalog trzeba więc wprowadzić, być może w oparciu o ten, który obowiązuje w przypadku kontroli operacyjnej. - Tam są wymienione przestępstwa, w których można stosować podsłuch. I to by był katalog przestępstw, w których będzie można ściągać dane z Big Data, a przecież to będzie rozszerzane, bo niedługo będą systemy całkowicie oparte na danych. Dlatego trzeba myśleć perspektywicznie - dodaje.

Tutaj jednak pojawia się kolejny problem. Nie od dzisiaj trwa dyskusja nad rozmiarem katalogu do stosowania kontroli operacyjnej, który "przy kolejnych okazjach" jest rozbudowywany o kolejne przestępstwa - ostatnio o te dotyczące nowych substancji psychoaktywnych. Pojawiają się więc głosy, że czas zastanowić się nad być może innym uregulowaniem. 

- Artykuł 19 Ustawy o Policji był już nowelizowany ponad 20 razy, a zdecydowana większość z tych nowelizacji odnosiła się do katalogu przestępstw, w zwalczaniu których możliwe jest stosowanie kontroli operacyjnej. Ciągłe rozszerzanie katalogu o nowe kategorie przestępstw jest reakcją ustawodawcy na dokonujące się bardzo szybko przemiany społeczne. Jeżeli mamy do czynienia już z kilkunastokrotną zmianą tego samego przepisu oznacza to, że przychodzi czas na wypracowanie nowej koncepcji kontroli operacyjnych i podsłuchu procesowego. Nadal - można to powiedzieć z pełną odpowiedzialnością – będą się pojawiać nowe przestępstwa czy zagrożenia rodzące konieczność rozszerzania katalogu, który będzie pęczniał i pęczniał - mówi prokurator dr Alfred Staszak, pracownik Katedry Prawa Karnego i Postępowania Karnego Uniwersytetu Zielonogórskiego. 

 


Dane służby kuszą, musi być kontrola

W ocenie prawników skoro nie ma katalogu, tym bardziej trzeba zadbać o kontrolę działania służb. W odróżnieniu od kontroli operacyjnej, w przypadku uzyskiwania i przetwarzania danych telekomunikacyjnych, pocztowych i internetowych przewidziano kontrolę sądową następczą. 

Jak to w praktyce wygląda? Sąd kontroluje pobieranie, przetwarzanie takich danych co pół roku, opiera się przy tym głównie na statystykach - tabelkach uzyskanych przez służby. I choć jest taka możliwość, zazwyczaj nie zagłębia się w poszczególne sprawy. 

- Czyli można powiedzieć, że kontrola jest, ale tak jakby jej nie było. Bo to fikcja - mówią prawnicy. Jacek Kudła wskazuje jednak, że ewentualne zmiany trzeba wprowadzać rozważnie. - Bo jeśli zastosujemy kontrolę sądową uprzednią, to niczym nie będzie się to różniło od przepisów regulujących kontrolę operacyjną. Zatem być może powinien za to odpowiadać niezależny organ, absolutnie nie prokuratura - jak wskazuje TSUE - bo prokuratura jest przecież zainteresowana pozyskiwaniem danych. Więc sprawa jest bardzo trudna, ale biorąc pod uwagę rozwój nowych technologii, możliwości pozyskiwania danych, to musi zostać uregulowane - wskazuje.

To zresztą nie wszystko, bo TSUE w swoim wyroku nie zgadza się też z prewencyjnym pozyskiwaniem danych w ramach tego przepisu. - Przykładowo policjant sprawdza różnego rodzaju dane w internecie, przewija mu się nazwisko Jana Kowalskiego i ma podejrzenie, że chyba może związany z oszustwem z VAT. Więc zapada decyzja żeby sprawdzić go bliżej, billingi, kontakty, znajomych, informacje z facebooka, instagramu, DarkNetu. Niekoniecznie z wyłączeniem danych o osobach postronnych, czyli znajomych Kowalskiego - mówi nieoficjalnie jeden z funkcjonariuszy.

Polskie sprawy już przed ETPC

W ocenie prawników, zmiany są potrzebne, bo jeśli to nie nastąpi, kolejne sprawy polskie będą trafiać przed europejskie trybunały. Przypomnijmy, już teraz polskimi sprawami dotyczącymi inwigilacji zajmuje się Europejski Trybunał Praw Człowieka. Pod koniec 2019 r. zwrócił się do polskiego rządu o wyjaśnienia w sprawie inwigilacji prowadzonej przez służby specjalne na podstawie ustawy o Policji oraz ustawy antyterrorystycznej. Ma to związek ze złożonymi do ETPC na przełomie 2017 i 2018 r. skargami. Wskazują one, że działania służb naruszyły prywatność (art. 8 Konwencji o ochronie praw człowieka) oraz prawo do skutecznego środka odwoławczego (art. 13 Konwencji). 

Adwokat Małgorzata Mączka-Pacholak z Kancelarii Pietrzak Sidor & Wspólnicy, wiceprzewodnicząca Komisji Praw Człowieka przy NRA, która reprezentuje w tej sprawie aktywistów z Fundacji Panoptykon i Helsińskiej Fundacji Praw Człowieka oraz adwokat Mikołaj Pietrzak, dziekan warszawskiej Izby Adwokackiej podkreślają, że problem inwigilacji jest realny i wymaga pilnego rozwiązania od lat.

- Obywatelom brakuje instrumentów skutecznego nadzoru nad tym jak jest ona stosowana. O tym, że ktoś był inwigilowany (np. poprzez podsłuchy) może dowiedzieć się - jeśli to w ogóle jest możliwe - dopiero po fakcie. Nie ma prawnych instrumentów, które pozwalałyby stosowanie inwigilacji zaskarżyć, aby skontrolować legalność i proporcjonalność ingerencji w prawo do prywatności, nawet po jej zakończeniu -  dodaje Małgorzata Mączka-Pacholak.

Kolejnym problemem jest jednak choćby samo występowanie o dane statystyczne dotyczące stosowania konkretnych uprawnień przez służby. - Informacje o działalności służb są uznawane jako informacje niejawne. Dodatkowo, ze strony służb, nawet w odniesieniu do danych czysto statystycznych, pojawiają się argumenty dotyczące konieczności ochrony bezpieczeństwa państwa, czy ochrony przed zagrożeniami terrorystycznymi. W takim wypadku uzyskanie informacji o działalność służb jest w praktyce niemożliwe - podsumowuje mecenas Mączka-Pacholak.