Szukać daleko nie trzeba, wystarczy polskie podwórko. Zgodnie z projektem zmian w kodeksie karnym i kodeksie postępowania karnego, którym ma się zająć Sejm, podmioty świadczące usługi drogą elektroniczną oraz dostawcy usług cyfrowych, mają mieć obowiązek niezwłocznego zabezpieczenia danych na żądanie sądu lub prokuratora. Może to oznaczać dostęp, choćby dla policji, do naszych internetowych kontaktów, przeszukiwanych stron, zakupów w sieci czy też adresów i godzin w jakich przesyłamy maile.  

Cel, choć szczytny - cyberbezpieczeństwo - w ocenie ekspertów tak daleko idących uprawnień nie uzasadnia. - Jak najbardziej należy zwalczać przestępczość terrorystyczną i co do tego nigdy nie miałem żadnych wątpliwości. Tylko pod osłoną zwalczania takiej przestępczości nie wolno doprowadzać do masowego zbierania wszystkich danych informatycznych - mówił jeszcze niedawno serwisowi Prawo.pl Jacek Kudła, biegły i ekspert z zakresu  czynności operacyjnych policji. Nie ma on wątpliwości, że służby jeśli otrzymają taką możliwość, będą z niej chętnie korzystać.    

Czytaj: Szykuje się masowa inwigilacja? Pod hasłem walki z terroryzmem nowe uprawnienia dla służb>>

Rozporządzenie zamiast dyrektywy, tyle że z luką

Warto przy tym przypomnieć czym jest dyrektywa, a czym unijne rozporządzenie. Dyrektywa wiąże każde państwo członkowskie, do którego jest kierowana. W odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków. Rozporządzenie z kolei wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Innymi słowy nie wymaga implementacji do prawa państwa członkowskiego, jest skuteczne bezpośrednio.

W tej sprawie chodzi o projekt rozporządzania parlamentu europejskiego i rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej - uchylające dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej). Sama dyrektywa zapewnia ochronę podstawowych praw i wolności, w szczególności poszanowania życia prywatnego, poufności komunikacji oraz ochrony danych osobowych w sektorze łączności elektronicznej. Gwarantuje ona również swobodny przepływ danych, sprzętu i usług związanych z łącznością elektroniczną w Unii. Projekt rozporządzenia co do zasady ją uszczegóławia o dostosowanie do najnowszych wymogów technologicznych związanych z rozwojem sieci łączności elektronicznej. Ma być też kompatybilne w sensie stosowania w praktyce prawa z Europejskim kodeksem łączności elektronicznej (np. w zakresie usługi łączności interpersonalnej i wielu, wielu innych) i kładzie się ogromny „nacisk” na bezpieczeństwo i ochronę danych użytkowników końcowych (odpowiednio pliki cookie i metadane).

Jest jednak jedno "ale". Jacek Kudła zwraca uwagę, że w projekcie pominięte zostały treści z dyrektywy dotyczące ograniczenia praw i obowiązków obywatelskich w tym zakresie. W dyrektywie wskazano m.in., że "państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1-4, i art. 9, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej".

Jak podkreśla, w projekcie jest takie wskazanie, ale bez unormowania w przepisach. - To w mojej ocenie jest błędne i powinno zostać poprawione - mówi.

 


Konsekwencje? Zbyt duża swoboda także służb

Ekspert podkreśla, że brak takiego uregulowania może skutkować zbyt szerokim marginesem swobody dla państw w tym zakresie, a jak dodaje, członkowie Unii powinni utrzymywać równowagę między ochroną życia prywatnego i danych osobowych, a swobodnym przepływem danych pochodzących z łączności elektronicznej.

- W rozporządzeniu powinny znaleźć się przepisy, które nie tyle regulują sferą bezpieczeństwa narodowego, bo nie jest ono objęte prawem Unii, ale pozwalają na prawne ograniczenie niektórych obowiązków i praw. Ograniczenie niektórych obowiązków i praw, o ile takie ograniczenie w demokratycznym społeczeństwie stanowi niezbędny i proporcjonalny środek do ochrony określonych interesów publicznych, w tym bezpieczeństwa narodowego, obrony, bezpieczeństwa publicznego, oraz zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub też wykonywania sankcji karnych - dodaje Jacek Kudła.

I precyzuje, że chodzi o to by nie dopuścić do sytuacji, w których akty normatywne poszczególnych państw unijnych będą naruszać m.in. art. 7 Karty praw podstawowych - choćby poprzez umożliwianie masowego pozyskiwania danych, nie tylko w dozwolonych przypadkach np. przeciwdziałaniu terroryzmowi ale i w innych.

- Jeżeli nie ma kontroli cywilnej służb specjalnych to przynajmniej poprzez akty normatywne określa się granice dopuszczalnej inwigilacji. Oczywiście nie chodzi tutaj o walkę z przestępczością, bo w tym przypadku jestem zwolennikiem odpowiednich uprawnień służb. Jednak nie można pozyskiwać masowo danych wszędzie i wobec wszystkich, muszą być jakieś granice prawne - wskazuje ekspert.

Koń jaki jest, każdy widzi

Pod koniec 2019 r. Europejski Trybunał Praw Człowieka zwrócił się do polskiego rządu o wyjaśnienia w sprawie inwigilacji prowadzonej przez służby specjalne na podstawie ustawy o Policji oraz ustawy antyterrorystycznej. Ma to związek ze złożonymi do ETPC na przełomie 2017 i 2018 r. skargami. Wskazują one, że działania służb naruszyły prywatność (art. 8 Konwencji o ochronie praw człowieka) oraz prawo do skutecznego środka odwoławczego (art. 13 Konwencji). 

Czytaj: ETPC bada, czy polskie służby inwigilują obywateli - RPO składa opinię>>

Adwokat Małgorzata Mączka-Pacholak z Kancelarii Pietrzak Sidor & Wspólnicy, wiceprzewodnicząca Komisji Praw Człowieka przy NRA, która reprezentuje w tej sprawie aktywistów z Fundacji Panoptykon i Helsińskiej Fundacji Praw Człowieka oraz adwokat Mikołaj Pietrzak, dziekan warszawskiej Izby Adwokackiej, podkreślają że problem inwigilacji jest realny i wymaga pilnego rozwiązania od lat.

- Obywatelom brakuje instrumentów skutecznego nadzoru nad tym jak jest ona stosowana. O tym, że ktoś był inwigilowany (np. poprzez podsłuchy) może dowiedzieć się - jeśli to w ogóle jest możliwe - dopiero po fakcie. Nie ma prawnych instrumentów, które pozwalałyby stosowanie inwigilacji zaskarżyć, aby skontrolować legalność i proporcjonalność ingerencji w prawo do prywatności, nawet po jej zakończeniu -  dodaje Małgorzata Mączka-Pacholak.

Wskazuje, że sądowa kontrola nad stosowaniem niejawnych środków operacyjno-rozpoznawczych, która polega na wyrażaniu przez sąd zgody na zastosowanie lub przedłużenie kontroli operacyjnej, jest poza zasięgiem i wiedzą indywidualnych osób. -  Dostępne dane wskazują, że czasem i 99 proc. wniosków składanych przez służby do sądu o zastosowanie kontroli operacyjnej jest akceptowanych. To rodzi pytanie o skuteczność tej kontroli - mówi.

Prawnicy i eksperci podkreślają, że problemem jest nawet samo wystąpienie o dane statystyczne dotyczące stosowania konkretnych uprawnień przez służby. - Informacje o działalności służb są uznawane jako informacje niejawne. Dodatkowo, ze strony służb, nawet w odniesieniu do danych czysto statystycznych, pojawiają się argumenty dotyczące konieczności ochrony bezpieczeństwa państwa, czy ochrony przed zagrożeniami terrorystycznymi. W takim wypadku uzyskanie informacji o działalność służb jest w praktyce niemożliwe - podsumowuje mecenas Mączka-Pacholak.