Prawo komunikacji elektronicznej nie jest ustawą, która powinna zmieniać zasady dostępu służb do danych telekomunikacyjnych – uważa resort cyfryzacji.

Urząd Ochrony Danych Osobowych opublikował swe stanowisko do projektu ustawy – Prawo komunikacji elektronicznej (PKE), które przesłał do Sejmu, gdzie toczą się prace nad nowymi przepisami. Jest ono krytyczne przede wszystkim w zakresie, w jakim projekt utrzymuje obowiązek przechowywania przez operatorów danych telekomunikacyjnych przez 12 miesięcy (chodzi m.in. o billingi i dane lokalizacyjne).

„Projekt ustawy powiela niezgodny z orzecznictwem Trybunału Sprawiedliwości UE model przechowywania (retencji) i udostępniania danych telekomunikacyjnych” – czytamy w komunikacie UODO.

Nowa ustawa praktycznie niczego nie zmienia, jeśli chodzi o obowiązki operatorów i przywileje służb. Ci pierwsi będą musieli, tak jak dotychczas, przez rok przechowywać dane o tym, do kogo dzwonią czy wysyłają SMS-y ich klienci i gdzie w konkretnym czasie się znajdują. Liczne służby i organy (m.in. policja, Centralne Biuro Antykorupcyjne, Agencja Bezpieczeństwa Wewnętrznego, Krajowa Administracja Skarbowa czy Służba Więzienna) mają zaś nieskrępowany dostęp do tych danych. By je uzyskać, nie muszą występować do nikogo o zgodę.

Wprost niezgodne z prawem UE

Sprawa jest w zasadzie prosta – od wielu lat nie ma żadnych wątpliwości, że polskie przepisy są niezgodne z prawem unijnym, co potwierdza wyjątkowo bogate orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej. Wyroki te są przywoływane zarówno w stanowisku UODO, jak i wcześniej w stanowisku ministra ds. Unii Europejskiej. TSUE konsekwentnie wskazuje, że niezróżnicowany sposób gromadzenia danych o wszystkich użytkownikach jest niezgodny z Kartą praw podstawowych Unii Europejskiej. Mówiąc wprost – nie pozwala nakładać na operatorów telekomunikacyjnych obowiązku gromadzenia danych o wszystkich abonentach. Co więcej, część krajów zmieniła swe zasady, wprowadzając bardziej rygorystyczne reguły związane z retencją. Na przykład Niemcy skrócili obowiązek przechowywania danych do czterech tygodni (dane lokalizacyjne) i 10 tygodni (pozostałe dane, np. billingi). Nawet jednak te korzystniejsze dla obywateli przepisy zostały uznane przez TSUE za zbyt ingerujące w prawo do prywatności.

W stanowiskach UODO i ministra ds. Unii Europejskiej orzecznictwo to jest przytaczane. Chodzi m.in. o wyroki TSUE z: 6 października 2020 r. (sprawy połączone C-511/18, C-512/18 i C-520/18), 30 kwietnia 2024 r. (dwie odrębne sprawy C-470/21 i C-178). Gdyby trybunał w Luksemburgu zbadał polskie regulacje, na pewno je również uznałby za niezgodne z prawem unijnym. Potwierdza to najnowsze orzeczenie innego sądu – Europejskiego Trybunału Praw Człowieka z 28 maja 2024 r. (Pietrzak, Bychawska-Siniarska i inni przeciwko Polsce), w którym wprost uznano nasze przepisy dotyczące inwigilacji za zbytnią ingerencję w prawo do prywatności. To również podniósł prezes UODO w swoim stanowisku.

Nie ten resort

Mimo tej jednoznacznej sytuacji prawnej polski ustawodawca zamierza przenieść dotychczasowe regulacje do nowej ustawy – PKE.

„Aktualnie prowadzony proces ustawodawczy dotyczący PKE jest okazją do ponownego przeanalizowania modelu udostępniania uprawnionym podmiotom danych o użytkownikach i wprowadzenia dodatkowych, jasnych warunków dotyczących abonentów, których spełnienie jest niezbędne, aby uczynić zadość wyrokom TSUE” – zauważa prezes UODO i dodaje, że nowa ustawa nie ma nawet określać zakresu danych, do których dostęp mają mieć służby, gdyż ten będzie wynikać z aktu niższego rzędu, czyli rozporządzenia.

Na oczywistą niezgodność tworzonego prawa z regulacjami unijnymi zwrócił uwagę podczas pierwszego czytania projektu w Sejmie m.in. poseł Adrian Zandberg z klubu parlamentarnego Lewicy. Sekretarz stanu w Ministerstwie Cyfryzacji Michał Gramatyka odpowiedział mu, że przy pracach nad PKE kwestie dotyczące inwigilacji nie powinny być rozstrzygane.

– To nie jest zagadnienie dla znawców rynku telekomunikacyjnego, dlatego bardzo mocno postawiliśmy tamę zapędom z jednej strony resortów siłowych, które chciały taką retencję danych zapewnić w PKE, a z drugiej strony ministerstwu odpowiedzialnemu za regulacje unijne, które w ramach PKE chciało wprowadzać w życie wyroki TSUE. (…) Od regulowania uprawnień służb nie jest MC. Dlatego pozostawiamy te przepisy, które były w prawie telekomunikacyjnym, i nie posuwamy się ani o krok do przodu – mówił Michał Gramatyka, dodając, że kompleksowym uregulowaniem zasad inwigilacji mają się zająć resorty odpowiedzialne za służby.©℗

1,8 mln danych telekomunikacyjnych przetworzyły służby w 2022 r.

75 proc. danych ze wszystkich pobranych przez służby przetwarzała policja