Zgodnie z projektem, którym ma się zająć Sejm, podmioty świadczące usługi drogą elektroniczną oraz dostawcy usług cyfrowych, mają mieć obowiązek niezwłocznego zabezpieczenia danych na żądanie sądu lub prokuratora. Może to oznaczać dostęp, choćby dla policji, do naszych internetowych kontaktów, przeszukiwanych stron, zakupów w sieci czy też adresów i godzin w jakich przesyłamy maile.
Cel, choć szczytny - cyberbezpieczeństwo - w ocenie ekspertów tak daleko idących uprawnień nie uzasadnia. - Jak najbardziej należy zwalczać przestępczość terrorystyczną i co do tego nigdy nie miałem żadnych wątpliwości. Tylko pod osłoną zwalczania takiej przestępczości nie wolno doprowadzać do masowego zbierania wszystkich danych informatycznych - mówi serwisowi Prawo.pl Jacek Kudła, biegły i ekspert z zakresu czynności operacyjnych policji. Nie ma wątpliwości, że służby jeśli otrzymają taką możliwość, będą z niej chętnie korzystać.
Zmiany takie mogą być problemem w kontekście standardów UE. Bo problem masowej inwigilacji obywateli - w kontekście danych informatycznych - jest w coraz większym zainteresowaniu unijnych organów. Świadczą o tym również wyroki Trybunału Sprawiedliwości Unii Europejskiej. W jednym z ostatnich z nich, w październiku 2020 r. Trybunał wskazał, że nieograniczona masowa inwigilacja danych elektronicznych obywateli jest niezgodna z prawem i powinna być stosowana tylko przy wystąpieniu „poważnego zagrożenie dla bezpieczeństwa narodowego”. Ale i w takiej sytuacji "pełny dostęp do danych elektronicznych obywateli powinien być ograniczony do okresu, który jest absolutnie niezbędny".
Trybunał podkreślił, że "artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (zmienionej dyrektywą 2009/136, w związku z art. 4 ust. 2 TUE, a także art. 7, 8 i 11 oraz 52 ust. 1 Karty praw podstawowych Unii Europejskiej) należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu umożliwiającemu organowi państwa nałożenie na dostawców usług łączności elektronicznej obowiązku uogólnionego i niezróżnicowanego transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji do celów ochrony bezpieczeństwa narodowego".
Czytaj:
Akta spraw pod specjalną ochroną - dziennikarz raczej do nich nie zajrzy>>
Jeszcze więcej władzy dla prokuratora - warunkiem listu żelaznego brak jego sprzeciwu>>
Sprawa dotyczy projektu - posłów PiS - zakładającego zmiany w kodeksie karnym i kodeksie postępowania karnego. Generalnie chodzi o dostosowanie polskich przepisów do unijnej dyrektywy dotyczącej zwalczania terroryzmu. Regulacje skierowano do pierwszego czytania, a wątpliwości wokół nich z każdym dniem wzrastają. Jedną z proponowanych zmian jest nowelizacja art. 218a. k.p.k. dotyczącego danych informatycznych i ich zabezpieczania. I tak zgodnie z obecnym brzmieniem "urzędy, instytucje i podmioty prowadzące działalność telekomunikacyjną obowiązane są niezwłocznie zabezpieczyć, na żądanie sądu lub prokuratora zawarte w postanowieniu, na czas określony, nieprzekraczający jednak 90 dni, dane informatyczne przechowywane w urządzeniach zawierających te dane na nośniku lub w systemie informatycznym. Jest też i par. 2 zgodnie z którym pozbawione znaczenia dla postępowania karnego dane informatyczne, o których mowa w par. 1, należy niezwłocznie zwolnić spod zabezpieczenia.
Zobacz procedurę w LEX: Zabezpieczenie danych informatycznych >
Proponuje się znaczne rozszerzenie tego artykułu. I tak paragraf 1 ma brzmieć: "urzędy, instytucje i podmioty prowadzące działalność telekomunikacyjną lub świadczące usługi drogą elektroniczną oraz dostawcy usług cyfrowych obowiązani są niezwłocznie zabezpieczyć, na żądanie sądu lub prokuratora zawarte w postanowieniu, na czas określony, nieprzekraczający jednak 90 dni, dane informatyczne przechowywane w urządzeniach zawierających te dane na nośniku lub w systemie informatycznym".
Co więcej, w sprawach o przestępstwa określone w art. 200b (propagowanie pedofilii), art. 202 par. 3, 4, 4a, 4b (prezentowanie, udostępnianie treści pornograficznych) lub art. 255a (rozpowszechnianie treści związanych z atakami terrorystycznymi) Kodeksu karnego oraz w rozdziale 7 ustawy z 29 lipca 2005 r. o przeciwdziałaniu narkomanii - takie zabezpieczenie może być połączone z obowiązkiem uniemożliwienia dostępu do tych danych. Co więcej jeśli wiąże się to z popełnieniem przestępstwa - sąd lub prokurator będą mogli zarządzić usunięcie tych treści. Proponuje się też uregulowanie, że podmiotem zobowiązanym do wykonania żądania sądu lub prokuratora - w zakresie zabezpieczenia danych - może być również administrator treści.
- Trzeba na to oczywiście spojrzeć szerzej, bo to nie jest tylko kwestia art. 218a k.p.k - chodzi o przepisy wszystkich ustaw policyjnych i służb specjalnych, które dotyczą gromadzenia danych. W szerszym kontekście i biorąc pod orzecznictwo unijne, mówimy nie tylko o zabezpieczeniu danych przez prokuratora na wniosek służb, ale także pozyskaniu danych przez same służby na podstawie ustaw szczególnych - zwraca uwagę Jacek Kudła.
Ekspert podkreśla, że propozycji nie można całościowo krytykować, bo ich celem jest uregulowanie pewnych kwestii, które mogły utrudniać pracę służbom.
- Racjonalny ustawodawca - czego nie podważam - rozszerza zakres zabezpieczenia przedmiotowych danych w ten sposób, że nakłada określone obowiązki na dostawców usług cyfrowych. Bo jeśli dzisiaj prokurator zwraca się o zabezpieczenie danych na podstawie art. 218a k.p.k to operator telefoniczny zgadza się, ale dostawca usług cyfrowych współpracujący z nim może powiedzieć, że danych nie da, bo nie ma takiego przepisu, który by do tego obligował. Druga kwestia to wprowadzane rozwiązania, zgodnie z którymi w przypadku przestępstw dotyczących propagowania pornografii, treści pornograficznych, czy też treści mogących służyć popełnienia przestępstwa o charakterze terrorystycznym, można zarządzić zakaz dostępu do tych danych. To dobre rozwiązanie, bo np. gdyby chodziło o informacje o werbunku do szkolenia terrorystycznego, służby mogłyby zawnioskować do prokuratora by nie tylko zabezpieczył te dane ale i uniemożliwił dostęp do nich - mówi.
W jego ocenie problemem jest jednak to czego nie ma, czyli brak zabezpieczenia przed nadużywaniem przepisu przez służby. - Dwa miesiące temu Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo istotny wyrok wskazujący na zakaz masowego pozyskiwania danych zarówno przez służby jak i prokuraturę na wniosek służb, a tego dotyczy właśnie ten artykuł. I to w mojej ocenie nie zostało wzięte pod uwagę, przy proponowanych zmianach - mówi ekspert.
O co chodzi? - Jeżeli prokurator zwróci się na tej podstawie o pozyskiwanie danych transmisyjnych, to jeśli nie będzie wskazane, że może tak być tylko w wyjątkowych sytuacjach, że musi być wskazany np. wycinek danych, których to dotyczy, to służby w sposób dowolny będą mogły pozyskiwać bardzo duży zakres danych nie tylko o konkretnej osobie, ale o jego znajomych, którzy się z nimi kontaktowały, nie mają żadnego związku z jakąkolwiek działalnością przestępczą - mówi.
Czytaj: Trybunał w Strasburgu zajmie się inwigilacją przez polskie służby>>
Prawnicy, organizacje zajmujące się problemem inwigilacji, propozycje poselskie dopiero analizują i nie chcą pokusić się o wstępne oceny. Nieoficjalnie przyznają jednak, że jeśli wejdą one w życie, może to być istotne zagrożenie dla praw obywatelskich.
- Chodzi praktycznie o wszystkie informacje potrzebne służbom - kontakty internetowe, strony na które wchodzimy, adresy, na które przesyłamy maile. Będą mogły uzyskać informacje skąd i w jakich godzinach korzystaliśmy z danych stron. W końcu "przy okazji" będą mogły sięgnąć po dane dotyczące innych osób, które nie tyle miały związek z przestępstwem co są w jakiś sposób powiązane "w sieci" z tą osobą, która jest sprawdzana - mówi nieoficjalnie jeden z policjantów.
Dodaje, że w takiej sytuacji zagrożone mogłyby być też informacje o charakterze finansowym lub handlowym, dane związane z łącznością i te szczególnie chronione, objęte tajemnicą zawodową. - Nie jest trudno sobie wyobrazić, że "przy okazji" służby mogłyby dostać wgląd do np. kontaktów adwokatów, dat, liczby maili wysyłanych przez nich do poszczególnych osób itp. - wskazuje.
W ocenie Jacka Kudły, zasadne byłoby więc wprowadzenie zabezpieczenia. - Choćby poprzez wprowadzenie paragrafu 5, że dane informatyczne mogą zostać pozyskane w sposób masowy tylko wyjątkowo. Z kolei w rozporządzeniu powinny być precyzyjnie określone wyjątki. Oczywiste jest, że takim wyjątkiem powinny być choćby zagrożenia związane z terroryzmem. Bo wiadomo, że np. w przypadku rekrutów do zamachów trzeba sprawdzać wszystkie osoby - mówi.
I wskazuje, że takie zmiany wymagają też określenia kryteriów i granic, a przede wszystkim sposobów pozyskiwania danych informatycznych.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
