Stosowanie Pegasusa jest na gruncie prawa polskiego niedopuszczalne z racji, iż umożliwia niekontrolowany dostęp do sfery intymnej człowieka, przyznając inwigilującemu możliwość niejawnego wpływania na tok życia inwigilowanego, w tym kradzież jego tożsamości - wynika z analizy sporządzonej przez prof. dr hab. Mariusza Bidzińskiego dla Senatu. Wyrażenie przez sąd zgody na zastosowanie Pegasusa nie może prowadzić do zalegalizowania używania tego narzędzia.
Radca prawny dr hab. Mariusz Bidziński, prof. Uniwersytetu SWPS wykonał dla Senatu analizę legalności i skutków prawnych działań podejmowanych przy użyciu systemu Pegasus.
Czytaj: Europejski Inspektor Ochrony Danych wzywa do zakazu stosowania Pegasusa>>
Czytaj w LEX: Podsłuchy operacyjne w orzecznictwie sądowym >>>
Pegasus to nazwa oprogramowania szpiegującego, możliwego do zainstalowania na urządzeniach elektronicznych korzystających z systemów iOS i Android (w tym zwłaszcza na telefonach komórkowych), produkowanego przez izraelską spółkę NSO Group Technologies Ltd.
Zainstalowanie oprogramowania na urządzeniu odbywa się zdalnie, bez świadomości użytkownika i otwiera podmiotowi infekującemu praktycznie nieograniczony dostęp do urządzenia. A zainfekowanie urządzenia Pegasusem daje infekującemu praktycznie całkowitą kontrolę nad urządzeniem, z jego bieżącym używaniem oraz modyfikacją zapisanych w urządzeniu treści włącznie.
Stosowanie Pegasusa jest niezależne od wiedzy i zgody operatorów telekomunikacyjnych czy internetowych. Jednocześnie wskazuje się, że kontrolę nad oprogramowaniem posiada licencjodawca, tj. NSO Group Technologies Ltd. z siedzibą w Herclijji (Izrael), co wiąże się z dostępem tego podmiotu do danych gromadzonych i przetwarzanych przez oprogramowanie.
Prof. Bidziński wskazuje, że obowiązujące przepisy prawa nie pozwalają żadnemu z organów państwowych na przełamywanie zabezpieczeń (hacking) i przechwytywanie oraz wykorzystywanie treści przekazów komunikacyjnych Potwierdza to fakt, że na gruncie obecnie obowiązujących regulacji stosowania kontroli sądowej oraz operacyjnej, stosowanie Pegasusa nie może mieć miejsca.
Wartość dowodowa danych pozyskanych przy pomocy Pegasusa jest znikoma, jeżeli nie zerowa.
Nigdy bowiem nie ma pewności, że zawartość urządzenia nie została zmodyfikowana przez organ stosujący Pegasusa na niekorzyść podmiotu inwigilowanego - stwierdza prof. Bidziński.
Według eksperta - zgoda sądu na podjęcie określonych czynności operacyjnych nie oznacza zgody na wykorzystanie przez inwigilującego dowolnych środków technicznych, w tym Pegasusa, choćby nawet podmiot zamierzający go stosować poinformował o tym sąd. Dlatego, że sąd nie posiada kompetencji do legalizowania stosowania środków, których stosowanie w świetle prawa jest niedopuszczalne (czy to generalnie, czy też w indywidualnym przypadku). W konsekwencji, nawet wydanie przez sąd zgody na przeprowadzenie kontroli procesowej lub operacyjnej w określony sposób i przy wykorzystaniu określonych środków technicznych nie prowadzi do dekryminalizacji zastosowania Pegasusa.
W ocenie eksperta, stosowanie Pegasusa jest nie do pogodzenia z wartościami wyrażonymi w art. 47, art. 49 i art. 51 ust. 2 Konstytucji RP oraz art. 8 EKPC, albowiem stanowi zbyt daleko idącą, rażąco nieproporcjonalną ingerencję w prawa jednostek.
Zainfekowanie urządzenia Pegasusem sprawia, że służby uzyskują całkowitą kontrolę nad urządzeniem, co przy roli telefonów komórkowych oznacza praktycznie przejęcie kontroli nad życiem prywatnym (możliwość dostępu do wszystkich zalogowanych serwisów, dokonywania dyspozycji majątkowych, korespondowania z innymi ludźmi pod przykrywką użytkownika telefonu, podsłuchiwania i podglądania w każdym czasie i miejscu itd.; w istocie: kradzież tożsamości).
Jest to nie tylko naruszenie prywatności w wymiarze powzięcia wiedzy o życiu prywatnym, ale również w wymiarze nieuświadomionej inwigilowanemu najgłębszej ingerencji w jego życie osobiste.
Tak głęboka ingerencja w sferę prywatności (a nawet głębiej: intymności) człowieka narusza istotę prawa wyrażonego w art. 47 Konstytucji RP oraz narusza przyrodzoną godność człowieka (art. 30 Konstytucji RP), albowiem czyni człowieka jedynie instrumentem w urzeczywistnianiu celów organu władzy.
Prof. Bidziński dodaje, że Agencja Bezpieczeństwa Wewnętrznego może skorzystać z Pegasusa (zakładając jego uprzednie legalne pozyskanie) tylko i wyłączenie dla „określenia podatności ocenianego systemu na możliwość popełnienia przestępstw”. Ocenie tej podlegają jedynie systemy teleinformatyczne organów administracji publicznej i infrastruktury krytycznej (art. 32a ust. 7-9 ustawy o ABW). Używanie Pegasusa do łamania czy omijania zabezpieczeń systemów informatycznych innych niż należących do administracji publicznej czy infrastruktury krytycznej nie jest legalne.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji. ----------------------------------------------------------------------------------------------------------------------------------------------
