Zmień język strony
Zmień język strony
Prawo.pl

Wciąż nie ma mechanizmu kontroli korzystania przez służby z prywatnych danych

Krzysztof Sobczak
Krzysztof Sobczak
RODO
Prawo europejskie
Aktualności

Przechowywanie danych o osobach, pozyskanych w ramach kontroli operacyjnej różnych służb, nie jest w Polsce dobrze uregulowane, co pozwala nie tylko na ich gromadzenie, ale też użycie w dogodnym momencie. Konieczne jest wprowadzenie realnego mechanizmu informowania danej osoby o pozyskaniu jej danych, a także wykonanie wyroku ETPCz, który zarzucił Polsce istnienie w tym zakresie wady systemowej.

rodo gdpr ochrona danych
Źródło: iStock

Rzecznik Praw Obywatelskich zwraca uwagę, że dane telekomunikacyjne obywateli - w tym billingi, dane o lokalizacji, dane IP czy dane abonenckie - dostarczają organom państwa precyzyjnych informacji o życiu danej osoby. Mogą być one przechowywane i w dogodnym momencie użyte przeciwko jednostce, co może być dla niej równie dolegliwe, jak niejawna inwigilacja obejmująca dostęp do treści komunikatów czy rozmów. Rzecznik wystąpił do ministra cyfryzacji, ministra sprawiedliwości-prokuratora generalnego, ministra spraw wewnętrznych i administracji oraz ministra koordynatora służb specjalnych o rozważenie zainicjowania odpowiednich zmian legislacyjnych. Zdaniem RPO konieczne jest m.in. wprowadzenie realnego mechanizmu informowania jednostki o pozyskaniu jej danych - po upływie roku albo dwóch od tego faktu. Adwokat Małgorzata Durlej-Piotrowska, prowadząca w Warszawie kancelarię zajmującą się tą problematyką potwierdza, że temat poruszony przez RPO dotyka samej istoty relacji między państwem a jednostką w dobie społeczeństwa informacyjnego i wymaga dogłębnej analizy prawnej. - Głos Rzecznika jest w tej kwestii nie tylko merytorycznie uzasadniony, ale wręcz niezbędny, ponieważ obecny model retencji danych w Polsce od lat budzi poważne zastrzeżenia w kontekście zgodności z Konstytucją oraz prawem unijnym – mówi serwisowi Prawo.pl.

Czy stosowanie oprogramowania spyware w ramach kontroli operacyjnej w Polsce jest dopuszczalne? - czytaj w LEX >

Wyrok ETPCz do wykonania

W piśmie do wicepremiera, ministra Krzysztofa Gawkowskiego oraz ministrów Waldemara Żurka, Marcina Kierwińskiego i Tomasza Siemoniaka, Marcin Wiącek przypomina wyrok Europejskiego Trybunału Praw Człowieka z 28 maja 2024 r. w sprawie Pietrzak i Bychawska-Siniarska i inni przeciwko Polsce. W zasadniczej części odnosił się on do problematyki kontroli operacyjnej i wadliwości systemowych w sferze niejawnej inwigilacji. Rzecznik przypomina, że ten aspekt problemu - w kontekście niezbędnych zmian prawa - zaprezentował w wystąpieniu z 7 sierpnia 2025 r., wskazując niezbędne kierunki zmian.  - Pracując nad implementacją tego wyroku ETPC, nie można pominąć problematyki retencji danych telekomunikacyjnych i dostępu do danych retencyjnych - podkreśla Marcin Wiącek w obecnym wystąpieniu do ministrów.

Czytaj też w LEX: Nielegalne dowody w procesie karnym a prawa człowieka - orzecznictwo sądów polskich na tle orzecznictwa ETPC >

Także mec. Durlej-Piotrowska wskazuje, że w obecnym stanie prawnym jednostka jest całkowicie pozbawiona kontroli nad tym, czy i w jakim zakresie państwo ingerowało w jej sferę prywatności, co uniemożliwia realizację prawa do sądu zapisanego w art. 45 Konstytucji. - Orzecznictwo TSUE, wyraźnie sugeruje, że dostęp organów do danych powinien być ograniczony do walki z poważną przestępczością i podlegać uprzedniej kontroli niezależnego organu - podkreśla.

Czytaj: Prezes UODO: Przepisy o retencji danych są sprzeczne z Konstytucją i prawem UE>>

Zmiany w procedurze karnej i ustawach o służbach

Według RPO potrzebne byłyby zmiany w Kodeksie postępowania karnego oraz w ustawach: Prawo komunikacji elektronicznej, o Policji, o Straży Granicznej, o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu, o Centralnym Biurze Antykorupcyjnym, o Służbie Wywiadu Wojskowego i Służbie Kontrwywiadu Wojskowego, o Krajowej Administracji Skarbowej, o Żandarmerii Wojskowej i o Służbie Ochrony Państwa, a także wznowienia prac nad rozporządzeniem wykonawczym do art. 49 ust. 2 Prawa komunikacji elektronicznej.  Zdaniem mec. Durlej-Piotrowskiej należy zacząć od tego, że artykuł 47 Konstytucji Rzeczypospolitej Polskiej gwarantuje każdemu prawo do ochrony prawnej życia prywatnego, zaś artykuł 51 ust. 2 wyraźnie zakazuje władzom publicznym pozyskiwania i gromadzenia informacji o obywatelach innych niż te, które są niezbędne w demokratycznym państwie prawnym. - Kluczowy w tym zakresie jest art. 47 ustawy Prawo komunikacji elektronicznej, który nakłada na przedsiębiorców obowiązek zatrzymywania i przechowywania danych przez okres 12 miesięcy na potrzeby uprawnionych organów oraz sądu. 

Czytaj też w LEX: Zagrożenia dla tajemnicy adwokackiej i obrończej wynikające z funkcjonalności współczesnych systemów szpiegujących >

Problem polega na tym, że taka konstrukcja wciąż stoi w jaskrawej sprzeczności z art. 49 Konstytucji RP gwarantującym wolność i ochronę tajemnicy komunikowania się oraz art. 51 ust. 2 Konstytucji, który ogranicza prawo organów do gromadzenia informacji o obywatelach jedynie do niezbędnego minimum – twierdzi ekspertka. A według RPO zasadniczym problemem – z perspektywy zgodności krajowych rozwiązań ustawowych z normami prawnymi wyższego rzędu – jest zaprojektowanie całego systemu retencji danych niejako na wzór standardu dopuszczalnego wyłącznie dla ochrony bezpieczeństwa narodowego. - Przepisy pozwalają na uogólnioną i niezróżnicowaną retencję danych o ruchu i danych o lokalizacji z założenia, jako "model wyjściowy" – twierdzi RPO. Jego zdaniem problematyczne jest także uregulowanie zasad dostępu do danych retencyjnych (pozyskiwanie w formie "stałego łącza", bez zaangażowania dostawców usług łączności, możliwość dostępu do danych dotyczących osób, które nie są w żaden sposób zaangażowane w działalność przestępczą), brak realnego nadzoru zewnętrznego nad dostępem do danych o ruchu, danych o lokalizacji, itp. - w formie kontroli sądowej następczej, w formie "społecznej" kontroli czy też w formie skarg indywidualnych, jeśli pozyskano dane konkretnej osoby. - W konsekwencji nie jest dalekie od prawdy stwierdzenie, że każdy może zostać poddany "soft" inwigilacji, niezależnie od jakiegokolwiek związku z działalnością przestępczą, a system został zaprojektowany tak, by jednostka nie dowiedziała się o pozyskaniu jej danych telekomunikacyjnych – ocenia prof. Wiącek. Czytaj: Nowe prawo komunikacji elektronicznej może zbyt daleko ingerować w prywatność>> 

Czytaj też w LEX: Zasada ograniczenia przechowywania, zasada integralności i poufności oraz zasada rozliczalności w ochronie danych osobowych >

Prawo powinno wymuszać na instytucjach większą powściągliwość

Małgorzata Durlej-Piotrowska uważa, że polskie prawo wciąż dopuszcza zbyt szeroką uznaniowość służb. - Uregulowanie tej kwestii w sposób przejrzysty jest w pełni możliwe poprzez nowelizację prawa komunikacji elektronicznej i wprowadzenie jasnego obowiązku informacyjnego, który aktywowałby się po zakończeniu działań operacyjnych, na przykład po roku lub dwóch latach - twierdzi. Zdaniem ekspertki, takie rozwiązanie wymusiłoby na instytucjach większą powściągliwość, bo świadomość późniejszej weryfikacji działań przez obywatela jest najlepszym hamulcem dla nieuzasadnionej inwigilacji. - Egzekwowanie takiego prawa wymagałoby jednak stworzenia silnego organu kontrolnego o charakterze quasi-sądowym, ponieważ obecny nadzór nad służbami specjalnymi ma charakter czysto iluzoryczny. Bez wątpienia potrzebujemy nowej, odważnej regulacji, która przywróci zachwianą równowagę między bezpieczeństwem państwa a prawem do intymności każdego z nas – podsumowuje adwokatka.

Czytaj: Policja nie może przechowywać danych bezterminowo, trzeba zmienić przepisy>>

Ograniczyć łatwe sięganie po dane retencyjne

Według  Rzecznika Praw Obywatelskich zmiany w przepisach o dostępie do danych retencyjnych powinny zapewnić m.in.:

  • dostęp do danych o ruchu i danych o lokalizacji powinien być możliwy wyłącznie po uzyskaniu uprzedniej zgody niezależnego organu. Kontrola uprzednia powinna mieć merytoryczny charakter, a organ, który podejmuje decyzję powinien mieć możliwość odmówić dostępu albo ograniczyć zakres żądania. W wypadkach niecierpiących zwłoki służby powinny móc niezwłocznie zabezpieczyć dane lokalizacyjne i dane transmisyjne/dane o ruchu, ale konieczna jest następcza zgoda niezależnego organu;
  • przepisy o dostępie do danych retencyjnych powinny zawierać przesłanki ograniczające możliwość "łatwego" sięgania po dane retencyjne. Konieczne jest dodanie przesłanki subsydiarności (gdy inne, mniej inwazyjne środki są albo okazałyby się bezskuteczne), proporcjonalności i konieczności oraz wprowadzenie wymogu, by osoba, o dane której służby się zwracają, miała związek z popełnieniem/popełnianiem przestępstwa;
  • w odniesieniu do spraw, gdy służby mogą uzyskać dostęp do danych retencyjnych, konieczne jest wprowadzenie ograniczeń przedmiotowych – zwłaszcza w ustawie o CBA. Służby nie mogą sięgać po dane niedotyczące treści – zwłaszcza dane o lokalizacji i dane o ruchu – w związku z oceną partnerstwa publiczno-prywatnego czy kontrolą oświadczeń majątkowych. Co do zasady służby mogłyby pozyskać te dane wyłącznie w sprawach zagrożonych karą co najmniej 3 lat pozbawienia wolności oraz w sprawach zagrożonych karą łagodniejszą, w których przestępstwo popełniono przy wykorzystaniu środków komunikowania się na odległość/przy wykorzystaniu Internetu. W sprawach o średniej społecznej szkodliwości, np. zagrożonych karą do 5 lat, można rozważyć ograniczenia w zakresie temporalnym żądania dostępu do danych o lokalizacji i danych o ruchu. Pozyskanie danych za rok w sprawach o średniej społecznej szkodliwości może być nadmiernie nieproporcjonalne;
  • należy wzmocnić kontrolę sądową/organu sądowego. Konieczne jest usunięcie ze wszystkich ustaw trybu dostępu do danych poza kontrolą sądową. Jest jednak pytanie o kształt kontroli sądowej następczej. Z rozwiązań prawnomiędzynarodowych wynika, że konieczna byłaby uprzednia kontrola dostępu do danych lokalizacyjnych i danych transmisyjnych/danych o ruchu. Następcza kontrola sądowa mogłaby znaleźć zastosowanie wyłącznie w odniesieniu do danych o abonencie i danych o IP;
  • konieczne jest wprowadzenie pełnej rozliczalności dostępu do danych retencyjnych, w szczególności w sytuacji korzystania ze "stałego łącza", tj. dostępu bez zaangażowania dostawców usług łączności.
  • przepisy powinny wprowadzać obowiązek dokumentowania "ścieżki decyzyjnej" po stronie służb,
  • konieczne jest wprowadzenie gwarancji chroniących tajemnice prawnie chronione, zwłaszcza tajemnicę dziennikarską i obrończą dla zapobieżenia obejścia ochrony tych tajemnic przez sięganie po dane o ruchu i dane o lokalizacji (np. w celu identyfikacji źródeł dziennikarskich albo ustalenia kontaktów obrońcy z klientem).

Czytaj też w LEX: Polskie przepisy inwigilacyjne na tle standardów europejskich – glosa do wyroku Europejskiego Trybunału Praw Człowieka z 28.05.2024 r., skargi nr 72038/17 i 25237/18, Pietrzak i Bychawska-Siniarska i in. Przeciwko Polsce >

 

Autor:
Krzysztof Sobczak

Polecamy książki prawnicze dla każdego

Przejdź do: Akty notarialne i poświadczenia notarialne. Wzory z omówieniem, Wojciech Gonet - otwiera się w nowym oknie
NowośćBestseller
Akty notarialne i poświadczenia GONET rgb
10% Rabatu
Sprawdź
Cena promocyjna: 359,10 zł | Cena regularna: 399,00 zł
Najniższa cena w ostatnich 30 dniach: 279,30 zł
Przejdź do: Uchylanie się od obowiązkowych szczepień ochronnych. Karnoprawna ochrona prawa dziecka do zdrowia, Sebastian Czechowicz - otwiera się w nowym oknie
Nowość
Uchylanie się od obowiązkowych CZECHOWICZ rgb
10% Rabatu
Sprawdź
Cena promocyjna: 134,10 zł | Cena regularna: 149,00 zł
Najniższa cena w ostatnich 30 dniach: 104,30 zł
Przejdź do: Świadczenia rodzinne. Komentarz, Katarzyna Małysa-Sulińska - otwiera się w nowym oknie
Nowość
Swiadczenia rodzinne MALYSA RGB
30% Rabatu
Sprawdź
Cena promocyjna: 139,29 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 99,50 zł
Przejdź do: Fundacja rodzinna. Ujęcie prawne i podatkowe. Komentarz, Katarzyna Karpiuk, Mariusz Miśkiewicz, Jacek Pawłowski - otwiera się w nowym oknie
Nowość
Fundacja rodzinna KARPIUK rgb
10% Rabatu
Sprawdź
Cena promocyjna: 215,10 zł | Cena regularna: 239,00 zł
Najniższa cena w ostatnich 30 dniach: 71,70 zł