Służby pozyskują billingi i dane o ruchu w internecie niezgodnie z unijnymi przepisami. Takie dowody mogą zostać zakwestionowane przed sądem. Rząd od lat to ignoruje.
Co do tego, że polskie przepisy są niezgodne z unijnymi, nie ma żadnych wątpliwości. Zgodnie z krajowymi regulacjami operatorzy muszą przez rok przechowywać dane pozwalające ustalić nie tylko do kogo dzwoniliśmy, lecz także gdzie przebywaliśmy czy na jakie strony internetowe wchodziliśmy, a policja, KAS, ABW, CBA, Straż Graniczna i cztery inne służby mają do nich nieskrępowany dostęp.
Potwierdzeniem wspomnianej niezgodności mogą być trzy opinie wydane w ostatni czwartek w pięciu połączonych sprawach, w których rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej przypomniał, że prawo unijne nie zezwala na wprowadzenie obowiązku uogólnionego i niezróżnicowanego przechowywania danych przez operatorów oraz udostępnianie tych informacji służbom bez kontroli sądu czy innego niezależnego organu. Tymczasem tak właśnie jest w Polsce. I choć nasz ustawodawca wie o tym od lat, całkowicie ignoruje orzecznictwo TSUE. Policji wystarczą dwie minuty, by sprawdzić nasze dane lokalizacyjne czy billingi. Bez jakiegokolwiek nadzoru, bez informowania post factum. To sprawia, że służby z roku na rok coraz chętniej korzystają z tej możliwości.
- Sprzeciw TSUE wobec przechowywania wszystkich danych o ruchu zainicjował dyskusje w całej UE. Niestety, Polska jest w zupełnie innym miejscu niż np. Niemcy: nie tylko nie wdrożyliśmy podstawowych wymogów związanych z udostępnianiem danych (niezależnej kontroli i informowania osób inwigilowanych), ale też w rządzie trwają prace nad rozszerzeniem katalogu danych, które mają być przechowywane i udostępniane służbom. Projekt ustawy o wolności słowa w mediach społecznościowych rozszerza bowiem ten obowiązek na firmy świadczące usługi drogą elektroniczną - dziś spoczywa on tylko na operatorach telekomunikacyjnych - ubolewa Wojciech Klicki, prawnik z Fundacji Panoptykon.
Co ciekawe, jedna z najnowszych opinii dotyczy wspomnianych Niemiec. Choć wprowadziły one mechanizmy zapewniające kontrolę nad dostępem do danych przechowywanych przez telekomy, to rzecznik generalny Manuel Campos Sánchez Bordona nadal uważa te przepisy za niezgodne z prawem unijnym. Przewidują one bowiem ogólny i niezróżnicowany obowiązek retencji danych (sprawy połączone C-793/19 i C-794/19).
Bogate orzecznictwo
Już w 2014 r. trybunał uznał, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych zbytnio ingeruje w prawo do prywatności i wykracza poza granice tego, co niezbędne do zapewniania bezpieczeństwa (połączone sprawy C-293/12 i C-594/12). Dyrektywa została uznana za nieważną, a tym samym państwa UE straciły podstawę prawną dla krajowych regulacji przewidujących przechowywanie informacji na potrzeby służb. W 2016 r. TSUE przesądził o niezgodności z prawem unijnym przepisów krajowych, które nakazują ogólną retencję danych (połączone sprawy C-203/15 oraz C-698/15).
W kolejnych sprawach (C-511/18, C-512/18 oraz C-623/17) TSUE przyznał, że w szczególnych sytuacjach związanych z koniecznością zapewnienia bezpieczeństwa narodowego można wprowadzić obowiązek ogólnej retencji wszystkich danych telekomunikacyjnych. Po pierwsze jednak, musi on wynikać z poważnego zagrożenia bezpieczeństwa narodowego, które jest realne i przewidywalne, po drugie, jest ograniczony do konkretnych ram czasowych, a po trzecie, podlega kontroli niezależnego organu.
W tych samych wyrokach TSUE podkreślił, że potrzeba zapewnienia bezpieczeństwa publicznego czy też zwalczania przestępstw (nawet poważnych) nie może już uzasadniać ogólnego obowiązku retencji. Tymczasem art. 180a ustawy - Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r. poz. 576 ze zm.) taki właśnie nakaz ogólnej retencji danych przewiduje i to zarówno bez kontroli sądowej, jak i bez informowania po fakcie osób, których dane służby pobrały.
Dowody do podważenia
Zapytaliśmy Ministerstwo Infrastruktury, które jest gospodarzem prawa telekomunikacyjnego, czy zdaje sobie sprawę z niezgodności polskich regulacji z prawem unijnym i czy planuje zmiany. Skierowano nas do ministra ds. informatyzacji, który jest odpowiedzialny za telekomunikację. Tu nie uzyskaliśmy żadnej odpowiedzi, podobnie jak z Ministerstwa Spraw Wewnętrznych i Administracji, które nadzoruje większość służb sięgających po dane telekomunikacyjne Polaków.
- Fundacja Panoptykon spytała o opinię ws. reformy wszystkie kluby parlamentarne: poza PiS wszyscy poparli nasz postulat stworzenia niezależnej instytucji zajmującej się kontrolą służb i wprowadzenie obowiązku informowania inwigilowanych o tym fakcie (po zakończeniu czynności operacyjnych) - mówi Wojciech Klicki. Do Sejmu trafiła petycja Panoptykonu w tej sprawie, ale nie zanosi się na to, by obóz rządzący chciał się nią zająć.
Tymczasem skutki tego mogą być katastrofalne.
- Może to mieć konsekwencje w sprawach karnych, w których wykorzystywane są dane telekomunikacyjne. Jeśli prawo telekomunikacyjne jest w tym zakresie sprzeczne z prawem unijnym, to dane są pozyskiwane do procesów karnych niezgodnie z prawem. Żądanie organów jest oparte na częściowo sprzecznej z prawem unijnym podstawie - zwraca uwagę Krzysztof Witek, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy.
- W 2016 r. ustawodawca ograniczył możliwość uznawania dowodów za niedopuszczalne. Wciąż jednak dowód jest niedopuszczalny, jeśli został uzyskany z naruszeniem przepisów postępowania w związku z pełnieniem przez funkcjonariusza publicznego obowiązków służbowych. Uzyskane przez np. policję dane, o których mowa, nie powinny w ogóle być dopuszczone jako dowody. Sądy powinny odmawiać zastosowania przepisów w zakresie sprzecznym z prawem unijnym - wyjaśnia.
Podobna sytuacja miała miejsce w Irlandii. Skazany za zabójstwo bezskutecznie kwestionował dopuszczalność wykorzystania danych telekomunikacyjnych. Potem zaś wszczął postępowanie cywilne, w którym ostatecznie High Court w Irlandii przyznał mu rację i stwierdził niezgodność krajowych przepisów o retencji danych. Tego dotyczy jedna z opinii rzecznika generalnego (sprawa C-140/20).
Polsce grożą też inne konsekwencje, jak choćby interwencja Komisji Europejskiej za brak dostosowania polskich przepisów do regulacji unijnych. Ewentualne postępowanie zajęłoby jednak sporo czasu, tymczasem realne są szybsze zagrożenia.
‒ Teoretycznie można sobie nawet wyobrazić sytuację, gdy operatorzy po prostu przestają udostępniać dane służbom, odwołując się wprost do wykładni prounijnej i orzecznictwa TSUE. W moim przekonaniu powinni wygrać ewentualne sprawy przed polskimi sądami, nawet bez kolejnych wniosków prejudycjalnych - zauważa Witold Chomiczewski, radca prawny w kancelarii Lubasz i Wspólnicy.
Co więcej, możliwy jest także pozew zwykłego obywatela za naruszenie jego prywatności poprzez niewłaściwą implementację przepisów unijnych. ©℗