Służby specjalne już teraz chętnie sięgają po nasze dane telekomunikacyjne, a afera z Pegasusem pokazała, że istnieje poważny problem z kontrolą tego procesu, a polskie przepisy odbiegają w tym zakresie od przepisów unijnych. Zamiast rozwiązać ten problem, rząd idzie dalej – chce, by dostawcy usług zbierali większą liczbę danych o użytkownikach.

Czytaj: 
Nowe prawo pozwoli służbom zbierać więcej danych o obywatelach - Sejm pracuje nad projektem>>
Nowe prawo komunikacji elektronicznej nieprzyjazne dla biznesu>>

Panoptykon ostrzega: działanie niezgodne z prawem

Opinie na temat projektu przygotowała Fundacja Panoptykon – wskazała w nim, że prawo Unii Europejskiej „nie pozwala na traktowanie wszystkich jak podejrzanych i – w konsekwencji – na przechowywanie danych wszystkich użytkowników i użytkowniczek”.

-  Polska wdraża unijną dyrektywę z ponad dwuletnim opóźnieniem i zamiast skupić się na meritum, czyli dostosowaniu przepisów do tego, jak obecnie korzystamy z usług łączności elektronicznej, wykorzystuje okazję, by zapewnić służbom dostęp do informacji o tym, jak korzystamy z różnych aplikacji. I robi to wbrew prawu UE, które nie pozwala traktować wszystkich jak podejrzanych – podkreśla Fundacja.

Czytaj też: Weryfikacja informacji objętych tzw. bezwzględną tajemnicą >>>

Czytaj też: Zakres oceny podstaw faktycznych stosowania kontroli operacyjnej >>>

Jakie dane będą gromadzić służby po zmianach?

Obecnie przedsiębiorcy telekomunikacyjni muszą przez 12 miesięcy przechowywać dane identyfikujące użytkowników, czyli imię, nazwisko, PESEL, adres. Poza tym gromadzą metadane, czyli informacje o tym, kto do kogo dzwoni i jak długo rozmawia, do kogo wysyła wiadomości, z jaką stacją BTS się łączy jego urządzenie, z jakiego IP korzysta.  

Jeżeli nowa ustawa wejdzie w życie, obowiązki przechowywania (retencji danych) będą też mieli przedsiębiorcy, którzy świadczą usługi „komunikacji interpersonalnej niewykorzystującej numerów”. Dotyczy to maili i komunikatorów internetowych. Jakie to będą dane, nie do końca wiadomo – ma pewno będzie wśród nich czas korzystania z usługi (zalogowanie i wylogowanie się z poczty) czy adres IP. Pytanie, czy w grę wchodzi również dostęp do treści wiadomości.

Czytaj też: Krąg osób uprawnionych do złożenia wniosku o zastosowanie czynności operacyjno-rozpoznawczych - LINIA ORZECZNICZA >>>

Rojszczak Marcin: Kontrola sądów krajowych nad stosowaniem środków inwigilacji elektronicznej na tle orzecznictwa ETPC >>>

Komunikatem może być wszystko

Jacek Kudła, ekspert w zakresie czynności operacyjno-rozpoznawczych wskazuje, że komunikat elektroniczny, o którym mowa w projekcie, oznacza każdą informację wymienianą lub przekazywaną między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej.

- Nie obejmuje on jedynie informacji przekazanej jako część transmisji radiofonicznych lub telewizyjnych transmitowanych przez sieć telekomunikacyjną, z wyjątkiem informacji odnoszącej się do możliwego do zidentyfikowania użytkownika otrzymującego informację. Takie unormowanie ustawowe pozwala przedsiębiorcy komunikacji elektronicznej na zgromadzenie nie tylko podstawowych danych, ale wszelkich danych związanych z przesyłaniem komunikatu elektronicznego – podkreśla Jacek Kudła. 

Dodaje, że w przypadku stosowania tych najnowszych technologii, w trybie przepisu, o którym wyżej mowa przedsiębiorca komunikacji elektronicznej może zgromadzić takie dane jak: zdjęcia i inne treści aplikacji przesyłane w formie komunikatu elektronicznego – a to - przez nowe możliwości technologiczne.

Pisanie na Berdyczów?

- W przypadku ustawy Prawo komunikacji elektronicznej, to z tego co rozumiem jest to poszerzenie zakresu dotychczasowych przepisów, ale nie o zawartość naszych skrzynek mailowych, czy wiadomości z komunikatorów – tłumaczy Adam Haertle, specjalista ds. bezpieczeństwa informatycznego, redaktor naczelny ZaufanaTrzeciaStrona.pl. - Dotychczasowe przepisy nie pozwalają na rejestrowanie bez uprzedniej zgody sądu i prokuratora zawartości sms-ów i zawartości połączeń. To jedynie rozszerzenie zakresu podmiotów, które podlegają obowiązkowi retencji metadanych, czyli informacji, kto do kogo wysłał maila i z jakiego adresu IP. Na pewno nie dotyczy to zawartości poczty i naszych wiadomości w komunikatorach. Alarmistyczny ton jest słuszny, ale mam wrażenie, że skierowany nie w tę stronę, co trzeba, bo chodzi o to, że masowa retencja danych wszystkich obywateli jest niezgodna z orzecznictwem TSUE – wskazuje.

 

Nasuwa się też pytanie natury praktycznej – od czasu, gdy na liście najpopularniejszych komunikatorów internetowych królowało polskie Gadu-Gadu, minęło już jakieś piętnaście lat. Obecnie najpopularniejszymi komunikatorami są te, należące do zagranicznych korporacji, jak Teams (Microsoft), Messenger (Meta) czy Whatsapp (Meta). Wśród adresów mailowych ogromną popularnością cieszy się np. Gmail, zatem pytanie, czy polskim służbom łatwo będzie wyegzekwować nowe obowiązki od amerykańskich korporacji. – Nie wieszczę im szczególnego powodzenia w tej materii – mówi Adam Haertle.

Oczywiście służby przy pomocy takich narzędzi jak Pegasus mogą uzyskać dostęp do wszystkich informacji wysyłanych z danego urządzenia, ale to wymaga zainstalowania oprogramowania na smartfonie użytkownika. W medialnych doniesieniach na temat nowych przepisów pojawił się też wątek zakupu nowego oprogramowania tego typu. - Narzędzia, które według doniesień prasowych kupiła policja, to nie jest żaden Pegasus 2.0, to normalne przedłużenie licencji na oprogramowanie, które polska policja ma już od lat i używa go w sytuacji, gdy musi zapoznać się z zawartością zatrzymanego telefonu lub komputera. Nie umożliwia to zdalnego dostępu do urządzeń, to normalne narzędzia, których używają służby na całym świecie – uważa Adam Haertle.

Dostęp pod kontrolą sądu

Jacek Kudła wskazuje, że służby powinny mieć dostęp do danych, natomiast powinno to następować w odpowiedni sposób. - To jest jeżeli komunikat elektroniczny zawiera dane, o których mowa w art. 19 ust. 1 ustawy o Policji, to dostęp ten powinien następować na podstawie tego właśnie przepisu – czyli przepisów, o kontroli operacyjnej. Natomiast jeżeli dane z komunikatu elektronicznego dotyczą wyłącznie tego zakresu, który dzisiaj wynika z art. 20c u.P. - do dostęp do komunikatu elektronicznego powinien następować, w trybie art. 20c ustawy o Policji – podkreśla.

Sprawdź też: Pozyskiwanie dowodów w wyniku kontroli operacyjnej i ich wykorzystanie - procedura krok po kroku >>>

Wskazuje, że rozwiązanie znajduje się w art. 20 ust. 3 i następne ustawy o Policji. Mianowicie, gdy policja zwraca się o określone dane dotyczące tajemnicy bankowej określone w ustawie musi stosować przepisy o kontroli operacyjnej - Jednak w przypadku, danych wymienionych w ustawie, które nie wymagają stosowania przepisów, o kontroli operacyjnej organ zwraca na podstawie własnego wniosku, który nie wymaga zgody sądu. W mojej ocenie rozwiązanie to należy odnieść odpowiednio do ustawy Prawo komunikacji elektronicznej i zakończyć wszelkie spory. Naturalnie kontrolę nad przestrzeganiem tego postępowania powinien sprawować Sąd – tak jak obecnie na podstawie art. 20ca ustawy o Policji – podkreśla ekspert.

 

Cezary Banasiński, Marcin Rojszczak

Sprawdź  
POLECAMY