Grupujący pracowników naukowych z Uniwersytetu Jagiellońskiego instytut przygotował analizę dotyczącą dopuszczalności nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych typu Pegasus.
Kontrola dopuszczalna, ale w granicach prawa
Wynika z niej, że użycie systemów teleinformatycznych, których integralną częścią są programy komputerowe, pozwalające utrwalać, bez wiedzy i zgody użytkownika, prowadzone rozmowy telefoniczne oraz pobierać wiadomości SMS/MMS oraz wiadomości z komunikatorów używanych przez osobę poddaną kontroli operacyjnej, w tym wiadomości wysyłane i otrzymywane przed datą rozpoczęcia kontroli operacyjnej, jest zgodne z przepisami polskiego prawa. Pod warunkiem wykorzystania do tego celu akredytowanych przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programów komputerowych zapewniających bezpieczeństwo informacji niejawnych, których funkcjonalności nie umożliwiają ingerencji w treść danych zgromadzonych w urządzeniu ani udostępniania tych danych osobom trzecim, nieuprawnionym do dostępu do informacji niejawnych.
Czytaj: Nie tylko Pegasus - apel o systemowe rozwiązania w sprawie kontroli nad działaniami służb>>
Bez aktywnego wykorzystywania funkcjonalności systemu
Zdaniem autorów opracowania, użycie programów komputerowych pozwalających utrwalać treść rozmów i obraz w pomieszczeniach, w których znajduje się telefon/tablet/inne urządzenie, po przejęciu kontroli nad urządzeniem i uruchomieniu przez służby mikrofonu lub kamery, jest sprzeczne z przepisami polskiego prawa, które nie przewidują kompetencji służb do aktywnego wykorzystywania funkcjonalności systemu informatycznego lub urządzenia końcowego w celu agregowania danych nie znajdujących się w systemie informatycznym objętym kontrolą w wyniku aktywności użytkownika tego systemu bądź na skutek jego indywidualnej konfiguracji.
Czytaj: Senat powołał komisję nadzwyczajną do spraw Pegasusa>>
Zakazane przeglądanie i pobieranie danych
Jak można przeczytać w opracowaniu, użycie programów komputerowych pobierających z telefonu/tabletu/innego urządzenia osoby objętej kontrolą operacyjną dane dostępowe (hasła/klucze) pozwalające na logowanie się na serwerach z pocztą elektroniczną, bankowych, portalach społecznościowych jest zgodne z przepisami polskiego prawa, przy czym jest sprzeczne z przepisami polskiego prawa przeglądanie i pobieranie danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych (haseł/kluczy).
Jak zapobiegać zagrożeniom związanym z ochroną danych osobowych w e-usługach? >
Niedopuszczalna ingerencja w treść danych zgromadzonych w urządzeniu
Autorzy analizy twierdzą, że użycie programów komputerowych pobierających z telefonu/tabletu/innego urządzenia osoby objętej kontrolą operacyjną całą jego zawartość zgromadzoną w urządzeniu w trakcie trwania oraz przed rozpoczęciem kontroli operacyjnej budzi wątpliwości co do zgodności z przepisami polskiego prawa w kontekście spełnienia in concreto konstytucyjnej zasady proporcjonalności. I jest sprzeczne z przepisami polskiego prawa, gdy wykorzystane są do tego celu nieakredytowane przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programy komputerowe nie zapewniające bezpieczeństwa informacji niejawnych, bądź których funkcjonalności umożliwiają ingerencję w treść danych zgromadzonych w urządzeniu, bądź których użycie wiąże się z udostępnianiem tych danych osobom trzecim nieuprawnionym do dostępu do informacji niejawnych.
Czytaj: Europejski Inspektor Ochrony Danych wzywa do zakazu stosowania Pegasusa>>
Dokonywanie zmian sprzeczne z prawem
Z opracowania wynika, że w ramach kontroli operacyjnej programów komputerowych pozwalających na uzyskanie dostępu do całości lub części systemu informatycznego w telefonie/tablecie/innym urządzeniu osoby poddanej kontroli operacyjnej i dokonywanie zmian w ich zawartości (w tym dodawanie, edytowanie lub usuwanie plików) jest sprzeczne z przepisami polskiego prawa.
Nielegalne przekazywanie danych do innych państw
Zdaniem autorów analizy, nabycie i używanie programów komputerowych, których wykorzystywanie w ramach kontroli operacyjnej wiąże się z przekazywaniem pozyskiwanych danych do osób trzecich, nieuprawnionych do dostępu do informacji niejawnych, w szczególności administratorów lub służb wywiadowczych obcych państw, jest sprzeczne z przepisami polskiego prawa.
Gawroński Maciej, Sztąberek Michał: Prawo do sprzeciwu wobec przetwarzania danych >
Sąd powinien wiedzieć, na jaką kontrolę wydaje zgodę
Autorzy opracowania podkreślają, że wniosek o kontrolę operacyjną kierowany do sądu powinien określać cele, zakres i sposób kontroli, w tym wykorzystywane programy komputerowe wraz ze wskazaniem ich funkcjonalności w kontekście rodzaju, źródeł i liczby pozyskiwanych informacji, a także zakres czasowy gromadzenia danych. I dodają, że osoba kontrolowana, w świetle standardu konstytucyjnego, powinna mieć prawo do powiadomienia o zakończonej wobec niej kontroli operacyjnej i złożenia zażalenia do niezależnego organu kontroli na podjęte wobec niej czynności operacyjne.
Ekspertyzę przygotowali:
- dr hab. Agnieszka Barczak-Oplustil
- dr hab. Mikołaj Małecki
- dr hab. Szymon Tarapata
- dr Adam Behan
- dr Witold Zontek
(Katedra Prawa Karnego Uniwersytetu Jagiellońskiego)
Pobierz pełną ekspertyzę w PDF>>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.