Dwa lata po wyroku ETPCz przepisy o inwigilacji wciąż bez zmian
Mimo upływu ponad dwóch lat od wydania przez Europejski Trybunał Praw Człowieka orzeczenia zobowiązującego Polskę do reformy przepisów dotyczących kontroli operacyjnej i retencji danych telekomunikacyjnych, nie zostało ono wykonane. Oznacza to, że te przepisy są wciąż niezgodne z Europejską Konwencją Praw Człowieka, a policja i inne służby mają dość łatwy, i bez realnej kontroli, dostęp choćby do smartfonów, a tym samym do ogromnej ilości informacji o życiu ich właścicieli, w tym danych wrażliwych.
- Zasady, na jakich polskie służby prowadzą inwigilację, naruszają prawa człowieka – stwierdził w wydanym 28 maja 2024 r. precedensowym wyroku Europejski Trybunał Praw Człowieka. I zobowiązał Polskę do zmiany przepisów. Zdaniem ETPCz prawo krajowe nie zapewnia wystarczających zabezpieczeń, aby zapobiec nadmiernemu korzystaniu z nadzoru i nadmiernej ingerencji w życie prywatne osób inwigilowanych.
Czytaj: ETPCz: Polskie przepisy o tajnej inwigilacji naruszają konwencję praw człowieka>>
Pilna systemowa reforma przepisów regulujących inwigilację
Wyrok był wynikiem skargi aktywistów - Wojciecha Klickiego i Katarzyny Szymielewicz związanych z Fundacją Panoptykon, Dominiki Bychawskiej-Siniarskiej i Barbary Grabowskiej-Moroz związanych z Helsińską Fundacją Praw Człowieka oraz adwokata Mikołaja Pietrzaka złożonej w 2017 r. - Z wyroku jednoznacznie wynika, że potrzebna jest pilna, systemowa reforma polskich przepisów regulujących inwigilację. Zmiany wymagają przepisy dotyczące kontroli operacyjnej, retencji danych telekomunikacyjnych oraz stosowania tzw. ustawy antyterrorystycznej. Tylko to zagwarantuje odpowiednią ochronę prawa do prywatności. Trybunał uznał, że praktyka stosowania przepisów o inwigilacji również prowadzi do naruszenia prawa do prywatności. Należy zmienić przepisy i praktykę stosowania inwigilacji, także w zakresie tajemnicy zawodowej adwokatów. Jedno nie wydarzy się bez drugiego – stwierdziła po ogłoszeniu orzeczenia adw. Małgorzata Mączka-Pacholak, która reprezentowała skarżących. A podczas zorganizowanej u Rzecznika Praw Obywatelskich w piątek 19 czerwca konferencji „Cyfrowa rzeczywistość, analogowe przepisy. O niedostosowaniu procedur do współczesnych form pozyskiwania informacji w związku z zapobieganiem i zwalczaniem przestępczości i gwarancji praw jednostki” podkreślała, że sprawę należy traktować poważnie, gdy rocznie ponad 2 mln razy pobierane są dane telekomunikacyjne.
Stan niezgodny z zasadami państwa praworządnego
Gospodarz konferencji, rzecznik praw obywatelskich prof. Marcin Wiącek przypomniał, że mimo upływu ponad dwóch lat od wydania tego wyroku, nie został on w Polsce wykonany, a obecny stan prawny w tym zakresie nie jest zgodny z zasadami państwa praworządnego. Podobną opinię przedstawił dr Piotr Zakrzewski, naczelnik Wydziału ds. Legislacyjnych i Ustrojowych Zespół Prawa Karnego Biura RPO. - Obecny system nie spełnia wymogów Europejskiej Konwencji Praw Człowieka i jest obarczony wadą, która musi być usunięta – ocenił. Zwrócił uwagę, że wynikające z niego zasady mogły być w Polsce zastosowane już wcześniej, bo takich wyroków strasburskiego trybunału było więcej. Jednak jak stwierdził, często traktowano je jako nie dotyczące nas. – Ten jednak dotyczy wprost Polski, więc nie ma już pretekstu do ignorowania zawartych w tym orzeczeniu zaleceń – podkreślił.
ETPCz w wyroku Pietrzak, Bychawska-Siniarska i inni przypomniał, że „w wyniku postępu technologicznego w komunikacji elektronicznej w ciągu ostatnich dwóch dekad, taka komunikacja może obecnie ujawniać dużą ilość danych osobowych”. Narzekając na brak wdrożenia wyroku ETPCz, prof. Wiącek zwrócił uwagę, że wciąż obowiązujące przepisy powstały w epoce analogowej, a my obecnie żyjemy w epoce cyfrowej, kiedy w smartfonie można znaleźć informacje o całym życiu człowieka, włącznie z wieloma danymi wrażliwymi, dotyczącym np. światopoglądu, wiary, życia towarzyskiego i intymnego, stanu zdrowia. – Obecna technika pozwala na pozyskiwanie takich danych w sposób znacznie wykraczający poza ramy przewidziane w obecnie obowiązujących przepisach – stwierdził. I dodał, że kontrola nad takimi działaniami, w tym sądowa, jest ograniczona, a często wręcz iluzoryczna.
Skuteczność służba i ochrona prywatności
Istnienie swego rodzaju szarej strefy w tej dziedzinie potwierdziła w swojej wypowiedzi mł. insp. dr Maria Hapunik z Komendy Głównej Policji, wykładowczyni na Uniwersytecie w Białymstoku.
- Nowoczesne i skuteczne narzędzia cyfrowe do walki z przestępczością są marzeniem wszystkich policjantów – stwierdziła. Jak mówiła, przestępcy szeroko korzystają z narzędzi informatycznych i zwykle wyprzedzają w tej dziedzinie policję. – Dlatego policja musi mieć narzędzia do walki z taką przestępczością, ale sposoby korzystania z tych możliwości muszą być jednoznacznie i precyzyjnie uregulowane – przyznała. I poinformowała, że obecnie policja ma do dyspozycji więcej informatycznych narzędzi do działań operacyjnych, niż wymienia obowiązująca ustawa o czynnościach operacyjnych. Przypomniała, że w ostatnich latach podejmowane były próby doprowadzenia do stworzeniu nowej regulacji w tym zakresie, ale wciąż nie doszło do uchwalenia nowej ustawy.
O szarej strefie w korzystaniu z telekomunikacyjnych danych retencyjnych, kiedy może to następować za zgodą sądu, albo bez niej, mówił też dr Piotr Zakrzewski. Zwrócił uwagę, że prokuratorzy często zlecają policji zbieranie danych w ramach czynności pozaprocesowych, a potem włączają je, za zgodą sądu, do procesu. – To jest furtka do omijania przepisów, która powinna być ograniczona – stwierdził.
Zdaniem prof. Marcina Wiącka, niejawne pozyskiwanie danych o obywatelach nie może być oceniane tylko z punktu widzenia skuteczności w walce przestępczością. – Jest pytanie, na ile społeczeństwo akceptuje taki stan, że dla skutecznej walki z przestępczością dopuszczalne jest naruszanie prywatności, albo czy dla ochrony tej wartości, jesteśmy gotowi uznać, że nie wszystkie przestępstwa muszą być wykryte – mówił podczas konferencji zorganizowanej w jego siedzibie.
Nie ma nawet projektów nowych przepisów
RPO wielokrotnie upominał się o wykonanie wyroku ETPCz, ale w niedawnym (z kwietnia br.) wystąpieniu do ministrów sprawiedliwości oraz spraw wewnętrznych i administracji skonstatował, że mimo wcześniejszych zapewnień dotychczas żaden projekt, czy choćby założenia do projektu przepisów, nie zostały publicznie zaprezentowane.
Czytaj: Wciąż nie ma mechanizmu kontroli korzystania przez służby z prywatnych danych>>
Według Rzecznika chodzi o zmiany w przepisach o retencji danych niedotyczących treści, gdzie m.in. należy „rozbić” dane niedotyczące treści na odrębne kategorie, tj. dane o abonencie, dane o IP, dane o ruchu (dane transmisyjne) i dane o lokalizacji. - Prawo unijne i orzecznictwo ETPC różnicuje te kategorie danych biorąc pod uwagę ich „potencjał” ingerencyjny w prawo do prywatności i możliwość odtworzenia/stworzenia „intymnego portretu” danej osoby. Najmniejszy potencjał ingerencyjny mają dane o abonencie, największy – dane o ruchu i dane o lokalizacji – ocenia RPO.
Natomiast w ramach zmian w przepisach o dostępie do danych retencyjnych dostęp do danych o ruchu i danych o lokalizacji powinien być możliwy wyłącznie po uzyskaniu uprzedniej zgody niezależnego organu. Zdaniem RPO kontrola uprzednia powinna mieć merytoryczny charakter, czyli nie sprowadzać się do analizy spełnienia przesłanek formalnych, np. prawidłowości sformułowania żądania, a organ, który podejmuje decyzję powinien mieć możliwość odmówić dostępu albo ograniczyć zakres żądania (np. skrócić okres/liczbę miesięcy, za które służby/prokurator żądają dostępu do danych).
W wypadkach niecierpiących zwłoki, służby specjalne i policyjne powinny móc niezwłocznie zabezpieczyć dane lokalizacyjne i dane transmisyjne/dane o ruchu, ale konieczna byłaby następcza zgoda niezależnego organu udzielana post factum. Konieczne jednak są przesłanki ograniczające możliwość „łatwego” sięgania po dane retencyjne - zastrzega rzecznik.
Z kolei w zakresie zewnętrznej kontroli i kontroli społecznej dostępu do danych retencyjnych zdaniem RPO konieczne jest wprowadzenie realnego mechanizmu notyfikacji jednostki o tym, że jej dane zostały pozyskane przez policję lub inne służby. Według niego możliwe jest przyjęcie rozwiązania analogicznego do mechanizmu funkcjonującego przy pozyskiwaniu danych w trybie procesowym (218 k.p.k.), tj. jednostka zostałaby poinformowana o tym, że jej dane zostały pozyskane od dostawców usług łączności przez organy ścigania po upływie odpowiedniego okresu, np. 1 roku albo 2 lat od pozyskania danych retencyjnych. W wąskiej kategorii spraw – np. tych dotyczących bezpieczeństwa narodowego – możliwe byłoby wyłączenie obowiązku notyfikacji z uwagi na przeważający interes publiczny.
Zdaniem RPO konieczne jest też wprowadzenie standardów raportowania/sprawozdawczości, które pozwolą ocenić nie tylko „skalę” korzystania z danych retencyjnych, ze wskazaniem jaki był cel uzyskania dostępu do danych niedotyczących treści.
Czytaj także: Prawo telekomunikacyjne pozwala bezkarnie pozyskiwać dane obywateli. UODO: jest do zmiany>>
